「銀行はパスワードの文字数制限を撤廃すべき」という主張を専門家はどう見ているのか?
2019・09・23 https://gigazine.net/news/20190923-banks-arbitrary-password-restrictions/
銀行口座などのネットアカウントを作った際、「パスワードは6文字以内」などの制限が課せられており、「こんな少ない文字数でセキュリティは大丈夫なのか?」と不安になったことがある人もいるはず。メールアドレスやパスワードの流出を調べられるサービス「Have I been pwned?」を開発したセキュリティ専門家のトロイ・ハント氏が、銀行のパスワード文字数制限についての考えを述べています。
Troy Hunt: Banks, Arbitrary Password Restrictions and Why They Don't Matter
https://www.troyhunt.com/banks-arbitrary-password-restrictions-and-why-they-dont-matter/
パスワードの文字数制限は銀行によって違いがあり、5文字が上限というところもあれば、16文字までOKというところもあります。多くの人々は短すぎるパスワードに不安を感じており、できるだけ長いパスワードを設定できた方がいいと考える人も多く存在します。しかしハント氏は、銀行のパスワード文字数制限について「それほど悪いことではありません」と述べています。
顧客の資産を扱う銀行のような金融機関は、ハッキングなどによってアカウントを乗っ取るメリットが大きいため、悪意のある人物が総当たり攻撃を仕掛けてくる可能性が高いです。そのため銀行は、何者かによってパスワードの総当たり攻撃が行われている疑いのあるアカウントについて、早急にロックするという対策をとっています。
多くの金融機関は、3回ほどパスワードの入力に失敗するとアカウントをロックし、その後は厳重な本人確認を行ってからでないとアカウントを開くことができないという施策を取っています。つまり、たとえパスワードの上限が数字のみの5文字であるとしても、組みあわせは「00000」~「99999」まで全部で10万通りも存在し、そのうち失敗は2回しか許されないというわけ。もともとパスワードを知らない攻撃者が偶然正しいパスワードを入力する可能性は、非常に低いとハント氏は指摘。
また、もう一つの問題としてハント氏が挙げているのが、「銀行は通常、ユーザーの名前やメールアドレスをそのままユーザーIDとして使用していない」という点。一般的には顧客登録番号などがユーザー名として用いられるため、攻撃者はこの番号も入手しなくてはなりません。もちろん、誰かがその気になれば番号を入手できないわけではありませんが、特定のユーザーの顧客登録番号を盗みだし、パスワードも入手することは非常に困難です。
さらにハント氏は、「銀行が使用する認証プロセスやセキュリティ対策は、アカウント名とパスワードの入力だけではない」という点も指摘。正規のユーザーは、単にユーザー名とパスワードを入力するだけで自分の口座にアクセスできるように感じているかもしれませんが、ハント氏が銀行のセキュリティ関係者とも話したところ、実際には見かけよりも非常に洗練された方法を使い、銀行はユーザーの金融資産を守っているとのこと。
ユーザーがアカウントにアクセスする際の環境や行動パターン、異変を発見するさまざまなパターンなどが銀行によって用いられており、単なる文字列照合による資格確認を超えたシステムが存在しているそうです。銀行が実際のセキュリティシステムを一般に開示することはありませんが、「隠されたセキュリティ機能」が銀行のセキュリティ体制に大きく貢献しているとハント氏は述べています。
Hi. I understand your concerns. Our Online Card Services login is our first line of security, but we do have many other hidden security features in place that help us to protect your account and details. ^LauraP
— MBNA (@mbna) 2018年7月9日
さらに、銀行などの金融機関ではお金の管理に関わる重要な手続きにおいて、追加の認証プロセスを導入する傾向が高まっています。ハント氏が利用している銀行も、新規の送金先を設定するたびにSMS認証を行っているとのこと。また、もしも顧客の金融資産に被害が及んだ場合、多くの銀行は不正な送金を取り消すなど、口座から失われた金額を補償してくれるそうです。以上のように、銀行の認証プロセスは単なる文字列認証によるログインとは大きく違い、一般的なウェブサービスなどと同様に語る必要はないとハント氏は述べています。
セキュリティ的にはパスワードに文字数制限をかけても問題がないと認める一方で、ハント氏個人としては「銀行はパスワードの文字数制限を撤廃するべき」と考えています。セキュリティに詳しい人であればパスワードそのものが重要ではないとわかるものの、一般の人々はパスワードの文字数が少ないと不安に感じてしまうとのことで、端的に言って「見栄えがよくない」とハント氏は指摘しました。
また、一部のパスワードマネージャーでは、ウェブサービスが文字数制限をかけているために認証に失敗してしまうケースもあるそうで、文字数制限は機能的な問題を引き起こす可能性があるとのこと。結局のところハント氏は、銀行はパスワードの文字数制限は撤廃するべきだと指摘した一方で、たとえパスワードの文字列上限が少なく設定されていても、それだけで銀行の使用をやめる必要はないと述べました。
狙われるOffice365アカウント。パスワードスプレー攻撃の脅威
2019・09・23 https://news.yahoo.co.jp/byline/ohmototakashi/20190922-00143725/
日本国内でもOffice365の採用が進んでいるが、それに比例するように「Office365に対して不正アクセスを受けた」という相談も増加している。昨年もOffice365を採用した大学で不正アクセスが相次ぎ文科省が注意喚起を行う事態となっていた。
■Offie365が狙われる背景
では、何故Office365が狙われるのか?筆者の見解を述べたい。
1.サイバー攻撃者にとって貴重な資産がOffice365へ移動
Office365はExcelやWordといったオフィス文書を作成するアプリケーションからメール配信まで提供する。企業内で作成されるオフィス文書の大半を保管することになる。サイバー攻撃者にとってOffice365は「データの金庫」と言えるだろう。
2.ログイン画面までは、誰でも到達可能
Office365はデータの金庫だが、ログイン画面はクラウド上に存在しているため、金庫の目の前までは誰でもアクセス可能だ。クラウドサービスによっては企業独自のログイン用URL等作成することが可能だが、Office365はそれが出来ないため、全世界のOffice365ユーザが共通のURLからログインする。サイバー攻撃者がIDとPWさえ知っていれば、簡単に侵入を許すことになってしまう。
3.セキュリティ設定、運用の不備
Office365は非常に多機能で有るため、導入設計の検討要素は広範囲に渡る。それらに注力するあまり、セキュリティ面が考慮されていないことが多く、不正アクセスを検出する運用等実施されていることは稀で有る。
つまり、Office365の採用によって、企業内のデータ資産はOffice365にシフトし、ログイン画面までは容易にアクセス可能であるにも関わらず、セキュリティ面が手薄になっていることが多い。一方でデータがクラウドにシフトしてしまったにも関わらず、相変わらず社内サーバ等はFWやIDS/IDPで厳重に守られている。攻撃する側の視点に立てば、どちらを狙うべきかは容易に想像が付くだろう。
■Office365 不正アクセスの実態
これは、実際に不正アクセスを受けているOffice365テナントをCASBを利用して地域別アクセス状況を可視化している画面だ。Office365に対してどういった地域からアクセスが発生しているのかをCASBで可視化しているのだが、正規のユーザは日本からしかアクセスしていない。にも関わらず世界各国からアクセスが発生していることがわかる。
これは今Office365に対する主流な不正アクセス手法「Knock Knock攻撃」、「パスワードスプレー攻撃」と呼ばれる攻撃手法で有る。※Office365に対する攻撃としてマカフィー社が発見し「Knock Knock攻撃」と名付けたが、今ではOffice365以外にも同種の攻撃が多数確認され、パスワードスプレー攻撃と呼ばれることが一般的になってきたので、パスワードスプレー攻撃と表記する。
■従来の不正アクセス検出をすり抜けるパスワードスプレー攻撃
パスワードスプレー攻撃は、非常に「ゆっくりとした攻撃」として知られている。特定のIDに対して一日に一回位のペースでログイン試行を試みる。一度失敗すると、間隔を開けて「別のIPアドレス」や「地域」からアクセスを試みる。気の長くなるような話だが、これを「ボット」を使って、延々と繰り返すのだ。
パスワードスプレー攻撃は、非常にゆっくりとログイン試行を繰り返すため、連続5回失敗したらアカウントをロックするといったアカウントロックの仕組みでは検出出来ないし、IPも毎回変えてくるため、特定IPからのアクセスを禁止するといった制御も回避してくる可能性が高い。
通常のユーザのログイン失敗のように見えるため、Office365の監査ログをただ眺めていても、パスワードスプレー攻撃を仕掛けられていると気付くことは難しい。
■ドメインさえ知られていれば、どこの企業も狙われる
そんなサイバー攻撃は我社には無縁と思うかもしれないが、そうとは限らない。Office365のIDを乗っ取ることが出来れば、メール送信も行えるようになるため、正規ドメインからフィッシングメールを送信することが可能になる。データ資産に価値は無かったとしても、この正規ドメインからのフィッシングメール送信のために、狙われる可能性は存在する。
Office365のログインURLまでは誰でもアクセスが可能で有るため、企業ドメインさえ知られていれば、ユーザIDの部分だけを毎回変えて、侵入可能なIDを偵察されるのだ。
ドメイン名は固定で、ユーザID部分のみを変えて不正ログインを試みる
例 test.comという企業を狙う場合
abc.def@test.com
admin@test.com
■100点満点のOffice365セキュリティ対策ソリューションは存在しない
今回紹介した、Office365へのパスワードスプレー攻撃は、CASBで不正アクセスの可視化と、SSOソリューション等である程度の対策を行うことは可能だ。しかし、Office365へのサイバー攻撃は、日進月歩で増殖している。各社が競ってOffice365用セキュリティ対策ソリューションを提供しているが、まだまだ完璧とは言い難く、これを導入すれば完璧ですというソリューションは存在していないというのが、筆者の見解で有る。
Office365の管理者に任命された場合にまず考えるべきは、適切な監査機能の有効化と、不正攻撃の検出・可視化の仕組みの導入だろう。自社のOffice365テナントに対してどういった攻撃を加えられているか?を検出出来れば、対策の検討へと進められる。検出の仕組みが無い中で、手探りで対策だけを検討するのは、無駄なセキュリティ投資となってしまう。
サイバー攻撃者らはOffice365を取り巻くセキュリティ対策の現状を理解しているため、狙い目と考えている状況でも有るだろう。Offie365はマイクロソフトが提供しているサービスだから安心、大企業も使っているから安心等という根拠の無い自信で、無防備なまま運用するのではなく、適切なセキュリティ運用施策を検討することを推奨する。