セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

企業のパスワード管理における3つの神話

パスワード。セキュリティに関する永遠の課題です。

Verizon社が2017年に発表したData Breach Investigations reportによると、ハッキングに関連した攻撃のうち81%がパスワードの漏洩、もしくは弱いパスワードによるものでした。更に同年のGoogle社の調査によると、窃取されダークウェブで売買されている認証情報の数は約20億に上ります。自分のパスワードが流出しているかどうかは、以下のウェブサイトから確認することができます。

Have I been pwned?(外部リンク)

20億という数字を、単なる統計値ではなく現実として実感したい人のために、F-secureのサイバーセキュリティエキスパート Janne Kauhanenがより具体的にご紹介します。Janneは、レッドチーム演習やサイバー攻撃調査の経験を通して、企業のパスワード管理における多くの問題点を目にしてきました。

データ侵害において、攻撃者は主に2つの手口を用いています。一つは、フィッシングによる認証情報の窃取。そしてもう一つは、脆弱なパスワードや使いまわされたパスワード、あるいはその両方に当てはまるパスワードのクラッキングです。– Janne Kauhanen, F-Secure

フィッシングはIT企業にとっては見慣れた脅威シナリオであり、一般的な企業の間でも徐々に認知度が高まっています。しかしながら、パスワードクラッキングは、しばしば単なるファンタジーとして片づけられてしまいます。

それもまた仕方ありません。クラッキングと聞いて、何かの映画のワンシーンが思い浮かぶ人は多いでしょう。そのシーンの現実味はともかくとして、そのようなイメージとして捉えられがちなのです。

このようなケースを、レッドチーム演習の中で幾度となく見てきました。パスワードクラッキングは実際に攻撃者の間で用いられている手口であるというだけでなく、とても効果的で有用な攻撃手段なのです。– Janne Kauhanen, F-Secure

次の動画で、パスワードクラッキングの手口を見てみましょう。

入念に準備を行いさえすれば、誰でも同じ手口を実行することができるのですから、企業にとっては無視できない問題です。
このことを念頭に置いた上で、F-Secureはパスワード管理における3つの神話を提示します。これらはどれも実情とは大きく異なるのですが、打破することが困難な神話です。

パスワード神話 その1:「私は強いパスワードを設定し、それを覚えている」

これは矛盾であり、パラドックスです。どのようなパスワードであれ強固ならば覚えておくことは不可能です。

人が記憶できるような方法やパスワードルールでは、1秒間に何万ものパスワードの組み合わせを試すことが可能なコンピュータの処理能力には到底かないません。頭の中で覚えていられるようなパスワードは、弱いと断言できます。これは法則といっても過言ではありません。
– Janne Kauhanen, F-Secure

安全に利用するためには、攻撃者にとって解読するのが難しいパスワードを設定する必要があります。例えば、パスワードフレーズから始めるといいかもしれません。「effecttradedbuysdowntownreally」や「waitingopencarapplebowling」といった、意味を持たない単語の組み合わせをパスワードとして設定するのです。

パスワード神話 その2:「私は重要人物ではない。故にだれも私のパスワードを狙わない。」

果たして本当にそうでしょうか。
あなたに価値を認めるグループが少なくとも一つ存在すると、F-Secureは断言します。犯罪グループです。

あなたは組織の一員であり、同僚からの信頼があります。電子メールを送り、社内のファイルへアクセスする権限を持っています。つまり、あなたのアイデンティティには価値があるのです。
アカウントが盗まれ、攻撃者に乗っ取られるとどうなるでしょう。メールを経由して送られてきたものが、見慣れないWebサイトのURLであったり、不自然なファイルであったとしても、親しい同僚からのものならクリックしてしまうのではないでしょうか。

攻撃者は自分の攻撃を成功させるためには手段を選びません。また、そのために時間を費やす余裕があります。サイバー攻撃はしばしば、一人の若手社員のアカウントを侵害することから始まります。そこを突破口に、内部へと急速に感染します。– Janne Kauhanen, F-Secure

非常に複雑な攻撃手順が踏まれているケースもありますが、多くの場合は、単にユーザーの注意不足や見過ごしが原因です。ですから、何百万ドルものコストを投じなければならないものではないのです。

パスワード神話 その3:「二段階認証を利用しているから、侵害に遭うことはない。」

これは少し複雑な問題です。確かに、二段階認証はあらゆる攻撃シナリオで有効と考えられます。しかしながら、ユーザーが攻撃を受けないと必ずしも保証できるものではありません。

二段階認証は本来、2つの異なる通信チャネルを必要とします。たとえばオンラインバンキングシステムでは、メインシステムから完全に分離されたアプリケーションにパスコードを入力する必要があります。

このようなシステムは、現時点ではあまり目にすることはありません。ユーザーにとって使いづらいだけでなく、企業にとってもコストがかかるためです。代わりに、ほとんどの企業はよりシンプルな手段を用いています。パスワードと同じ画面に入力するコードを、テキストメッセージで送信するという方法です。

二段階認証を利用するに越したことはありませんが、それを攻撃者がうまくかいくぐる様子を私は見てきました。ユーザーの資格情報と二段階認証用のコードは、ログインページを偽装することによって窃取することができます。本物のページでセッションを続けている間に、攻撃者はサービスが一時的に利用できなくなったとして、ユーザーに偽のエラーメッセージを送信します。そこから偽装したログインページに誘導し、情報を窃取します。二段階認証は決して銀の弾丸とは言えないのです– Janne Kauhanen, F-Secure

結論

自分自身のためにも同僚のためにも、パスワードのセキュリティ対策に真剣に取り組んでください。まずはあなたの職場から対策を始めましょう。

攻撃者に内部への侵入経路を見つけられてしまったときの備えが必要です。ですから、次世代のマルウェア対策だけではなく、不正アクセスや情報漏洩といったセキュリティ課題にも目を向けましょう。

こんな言葉があります。

「世の中には2種類の企業がある。サイバー攻撃を受けた企業と、そのことに気づいていない企業だ。」

 

オリジナル記事情報

3 Password Security Mistakes Businesses Are Making
掲載日:2019年3月19日
執筆者:Joel Hiltunen

本記事はF-Secure KKの許諾のもと、オリジナル記事を日本語に翻訳・編集したものです。
当社では、F-Secure社のエンドポイントセキュリティソフト、エフセキュア プロテクションサービス ビジネスを取り扱っております。
F-Secure

記事一覧に戻る