必要性が高まる多要素認証

多要素認証(MFA:Multi-Factor Authentication)とは、不正ログインなどを防ぐために二つ以上の要素を組み合わせて本人認証を行う認証方式だ。使用される要素には、指紋や静脈、顔などの「生体情報」のほか、秘密の質問のように本人だけが知っている「知識情報」、クレジットカードなど本人だけが所有している「所持情報」といったものがある。多要素認証は日本においても20年以上前から普及しているが、近年、その必要性が増している。リモートアクセスの導入やクラウドシフトの加速に伴うサイバー攻撃リスクの増加や、攻撃の悪質化により、パスワード認証では事足りなくなっているのだ。

さまざまな手法で狙われるパスワード

 サイバー攻撃者がパスワードを入手する主な手法としては以下七つが挙げられるだろう。攻撃への対策も併せて記載するので見ていこう。

●辞書攻撃
説明:よく利用されるパスワードのリストをあらかじめ用意しておき、それを利用する。
対策:独自性のある複雑なパスワードを利用する。パスワード生成Webサイトを利用する方法もあるが、図1のように覚えやすい要素を組み合わせて複雑にするのもよい。

●フィッシング
説明:実在する企業になりすましたメールやWebサイトからID・パスワードを入力させ、それを窃取する。
対策:送信元やURL、内容などを確認し、少しでも怪しいと感じた場合はアクセスしない。判断に困る場合は、メール送信元やWebサイト運営元となっている企業に電話するなど、Webやメールとは別の方法で問い合わせる。

●総当たり
説明:IDもしくはパスワードを総当たりで組み合わせてログインを試す。ブルートフォース攻撃とも呼ばれる。
対策:「辞書攻撃」と同じ

●公開されているパスワードの利用
説明:すでに盗まれ、通常ではアクセスできないダークネット上に公開・販売されているID・パスワードを利用する。
対策:パスワードが漏洩しているか確認し、漏洩していた場合は変更する。パスワードが漏洩しているか確認するサイトとして有名なのがhttps://haveibeenpwned.com/である。このサイトではeメールアドレスの漏洩有無も確認できる。

●キー入力から窃取
説明:キーロガー(Key logger)というキーボードに入力された文字や情報を記録するソフトウェアによってID・パスワードを窃取する。
対策:ウイルス対策ソフトウェアを稼働させる。

●通信パケットからの窃取
説明:暗号化されていない通信パケットからID・パスワードを窃取する。
対策:暗号化されたWi-Fi、httpsによるWebアクセス、VPNなどの暗号化通信を利用する。

●盗み見
説明:ID・パスワードを入力しているところを盗み見る。または、付箋紙や手帳などにメモされたパスワードを窃取する。
対策:他人が近くにいるところではID・パスワードの入力時、注意を払う。他人に見られる可能性のある場所にはパスワードをメモしない。図1のように自身で覚えておける複雑なパスワードを設定するか、パスワード管理ツールを利用する。

パスワード認証の限界

 これまで紹介してきたように、各攻撃への対策はあるものの、パスワード認証には以下のような課題がある。


・パスワードは多くのシステムやWebサイトで利用するが、システムごとにID・パスワードを生成し記憶することが負担になり、結果使い回しが発生する。
・フィッシングやキーロガーにより個人利用のパスワードが窃取されダークウェブで公開・販売されている場合、利用者が同じパスワードを業務でも利用していれば、企業など組織のネットワークに侵入されてしまう可能性がある。
・ID・パスワードの作成ルールにのっとっていたとしても、作成したID・パスワードが危険である可能性を排除できない。
・ITにそれほど詳しくない場合、怪しいメールやWebサイトに気付かない、eメールアドレスやパスワードの漏洩有無を確認できない、暗号化通信でないことに気付かないなど、さまざまな課題がある。


 以上の課題から、パスワード認証は限界を迎えつつあり、多要素認証の必要性が高まっているのだ。ただ、多要素認証にもいくつか課題はある。

多要素認証の課題

 ここでは、多要素認証の要素の一つ、生体情報を利用する際の課題を紹介する。図2のように、生体情報の利用にはセキュリティ面、コスト面での課題がある。生体情報は盗難・紛失の心配がなく便利なものである一方で、万が一漏洩してしまった場合には、変更や破棄もできないため取り返しがつかなくなってしまう。生体情報漏洩リスクを防止するためにも、新たな脅威に対応した高度なセキュリティが要求されるのだ。

 また、生体情報を読み取る認証装置も用意しなければならず、そのコストも課題となるだろう。しかし最近では、スマートフォンやタブレットだけでなくPCにもカメラが標準搭載されてきている。リモートワークでの本人確認のニーズの高まりもあり、デバイスに搭載のカメラを利用した顔認証を導入している企業も多いのではないだろうか。顔認証を利用する場合、認証装置の導入コストの問題はほぼ解消されるだろう。残る課題は情報漏洩のリスクだ。次回は、生体情報の漏洩リスクを解決する「Public Biometric Infrastructure」(PBI)と呼ばれる技術についてその仕組みと活用例を解説する。

◀パスワードの漏洩の有無を確認できるサイトはこちら!