個人情報の漏洩、SNSアカウントの乗っ取りなどITセキュリティ侵害事案が相変わらず発生しています。フィッシングサイトに認証情報を入力してしまったというような、うっかり確認不十分から発生している事案に対しては教育訓練を行ってもあまり対策になりません。なぜなら真偽を人に確認させるということは各人の注意力に頼ることになるからです。

 

 

偽の警告eメールについてはメール中継サーバでフィルタリングしたり、デバイスのセキュリティソフトでチェックするようにしていますが、すり抜けるeメールが少なからずあります。例えば、制限リストに入っていない1度もフィッシングに使われていないサブドメインを使ってくる、リンクを暗号化した文書ファイルに仕込むような手口です。

 

サイバー犯罪者がフィッシングに使用する偽サイトのWebドメインの取得、フィッシングメールの発信などは自動化されています。１つをアクセス拒否したところですぐに次が出てきます。最近の多くのケースでは正規のコンテンツから複製して偽コンテンツ作成しているので本物と違うのはアクセス先のドメインくらいです。

 

セキュリティ教育を行い、アクセス先についてはフィルタリング、モニタリングしているから大丈夫だという組織も増えてきてはいますが、それでも十分とは言えません。

 

グローバルに展開しているクラウドサービスの利用においてはサイバーセキュリティに関する犯罪対策のゆるい地域からパスワードの試行に対する攻撃がしつこく続いているので突破される可能性が付いて回ります。ブルートフォース攻撃(総当たり攻撃)は１つのアカウントに対してパスワードの文字列を変えて試行し続ける攻撃手法です。パスワードスプレー攻撃は複数のアカウントに同じパスワードを同時に試す不正ログインの一種で、入力回数制限に掛からないように時間を空けて試行してきます。攻撃者は収集あるいは漏洩したアカウントをリスト化しています。eメールのやり取りではe-Mailアドレスが伝わりますし、SNSではプロフィールにアカウントが表示されているのでアカウント情報が攻撃者へ渡るのを防ぐことはできません。

 

攻撃者は効率よく認証を突破するためによく使われているパスワード文字列、キーボードの並び順の文字列、他のサービスから漏洩したパスワードの文字列を試行することが分かっています。さらには他のサービスから漏洩したパスワードの文字列を少しずつ変えたパターンも試す攻撃も観測されていますのでパスワードの定期変更をすることで突破されやすくなる場合も出てきています。

 

ワンタイムパスワードも併用する２段認証か、セキュリティキーのような物理キーで多要素認証を導入していない場合にはいずれは突破されてしまいます。アタックが激しいのでまず少ない文字数、簡単な文字列から侵害されていき、複雑な文字列にしていてもいつかは当たってしまうと思われます。

 

物理キーで私が良いと思っているYubico YubiKey FIDOセキュリティキーはAWS IAM、Google Accounts、Apple Cloud、Microsoft accounts、Microsoft Entra ID、Salesforce、Facebook、X/Twitter、Instagram、Youtube、GitHub、などに対応しています。ただ日本中心のクラウドサービスは対応が進んでいない点は残念です。ドルベースの定価は変わっていませんが最近の円安で割高感が感じやすいのと、USB型のデバイスとしては高価な部類に入るのが普及しずらい要因の一つと思われますがセキュリティ侵害を受けたときの被害と手間を考えれば決して高い買い物ではないと考えます。

 

FIDO2とパスキーがもっと普及してくれるように願っています。

 

 

■YubiKey 5 シリーズを使ってみる - Yubico

Get started with YubiKey 5 Series

 

 

■関連記事

yubico Yubikey 5 NFCで２段認証をセットアップ (2021年11月23日記事)