私たちは業務で様々なWebサービスを利用していますが、近年、Webサービスの認証情報を狙ったサイバー攻撃が横行しています。特に、従来の認証方式である「パスワード認証」と「多要素認証」には脆弱性が存在しており、悪意のある攻撃者がその脆弱性を利用して認証情報を盗む事例が増加しています。そのため、各企業において脆弱性対策やユーザーの認証情報の保護がますます重要な課題となっています。この記事では、最新の認証デバイスとして注目されている「YubiKey」について解説し、YubiKeyを利用することによって従来の認証方式における脆弱性への対策や課題を解決する方法を紹介します。
YubiKeyの特徴・利用時の注意点 -脆弱性対策を実現する強み-
YubiKeyとは、Yubico社が2008年に開発した認証デバイスで、既に全世界で4000社以上の利用実績があります。このようにYubiKeyが多くの企業から選ばれる理由は、YubiKeyが従来の認証方式における脆弱性への対策をする上で、安全で使いやすいという強みがあるからです。ここでは、YubiKeyの物理的/技術的な特徴に触れ、利用時の注意点についても紹介します。
YubiKeyで実現できること
YubiKeyは、多要素認証プロセスにおいてSMSやメール、認証アプリに代わる安全な認証手段として利用することができ、また、Webサービスへログインする際にパスワードを利用しない安全な認証を行うことができます。YubiKeyを初めて利用する場合、YubiKeyとPCやスマートフォンをUSB接続またはBluetoothやNFCなどの非接触による接続をした状態で、利用するサービスで一度初期設定を済ませれば、次回以降の認証時にYubiKeyの本体へ指を触れるだけで簡単に認証を行うことができるようになります。Yubikeyは初期設定や操作が簡単であるため、セキュリティとユーザビリティを両立させることができる画期的なデバイスです。
YubiKeyの物理的な特徴 -軽量小型・高耐久性-
YubiKeyは、小型で携帯可能な物理デバイスです。YubiKeyの物理的な特徴として、防水・耐衝撃性が非常に高く、USBで給電するため電池交換が不要なことが挙げられます。YubiKeyには多くの種類の製品があり、製品によって形状やコネクタが異なるため、USB Type-AやType-C等、接続するデバイスが対応している端子に合わせて購入する必要があります。また、YubiKey本体には、インターネット接続を行うことなく認証情報を保管することができるチップが内臓されているため、インターネットを介して悪意のある攻撃者に認証情報を盗まれる脆弱性/リスクを避けることができます。
YubiKeyの技術的な特徴 -多様なサービスとプロトコルに対応-
YubiKeyは、業務で幅広く利用されているGoogleやAWS等、数百種類のWebサービスに対応しています。さらに、WindowsやMacのログイン時にもYubiKeyを利用することができ、業務における認証プロセスのセキュリティを向上させることができます。また、YubiKeyの製品によって多少の違いはありますが、FIDO2やWebAuthn等の様々なプロトコルに対応しており、柔軟で強固な認証がサポートされています。製品ごとに対応しているプロトコルについては、公式サイトに詳細が掲載されています。
YubiKeyを利用する際の注意点
YubiKeyは、現状では重大な脆弱性は報告されておらず、高いセキュリティ水準を満たしている認証デバイスです。ただ、前述のとおり、YubiKeyはサイバー攻撃を受けるリスクが少ないデバイスですが、利用する際に注意すべき点はいくつかあります。
紛失・盗難
YubiKeyは、小型な物理デバイスであるため、紛失や盗難にあう可能性があります。YubiKeyが紛失や盗難にあってしまい、YubiKeyを手にした第三者がYubiKeyの利用者が利用しているWebサービスの認証情報を把握している場合、不正ログインされてしまう恐れがあります。そのため、YubiKeyの利用者は、デバイスを慎重に保管する必要があります。また、YubiKeyを紛失してしまうと、多要素認証を設定しているWebサービスにログインできなくなります。このような事態に備えて、緊急時に一度だけ利用できる「バックアップコード」を事前に保管しておき、YubiKeyを紛失した際にWebサービスへアクセスできるようにしておくことが望ましいです。
正規販売店・正規代理店以外での購入
YubiKeyは、大手ECサイトを通じて購入することもできますが、正規販売店や正規代理店以外での購入は避けたほうがベターです。その理由は、YubiKeyを正規ルート以外から購入した場合、技術的なサポートを受けられない等のデメリットがあるからです。Yubico社は、正規代理店を5つのリセラーレベルという基準で評価し、認定されている正規代理店を公式サイトに掲載しています。
・Yubicoリセラー検索:https://www.Yubico.com/resellers/?lang=ja
日本には4社のYubicoリセラーが存在しているため、この中から購入先を選ぶことを推奨します。
パスワード認証の脆弱性と課題 -YubiKeyの機能を活用した対策-
このように、YubiKeyは世界中で広く支持され、業務で使用される様々なWebサービスのセキュリティを向上させる特徴があります。ここからは、「パスワード認証」と「多要素認証」の従来の認証方式に対して、YubiKeyがどのように脆弱性への対策で利用できるかについて説明します。パスワード認証は長い間広く使われていますが、推測しやすいパスワードや桁数が少ないパスワード、同じパスワードの使い回し等の脆弱性を狙った攻撃手法が存在しています。ここでは、パスワード認証における脆弱性と課題を説明し、YubiKeyを利用した解決方法について紹介します。
辞書攻撃・総当たり攻撃による不正ログイン
悪意のある攻撃者は、サービスに設定されている「単純なパスワード」という弱点を狙ってユーザーの認証情報を盗みます。攻撃方法には、パスワードに利用されることが多い言葉を組み合わせる「辞書攻撃(Dictionary Attack)」やパスワードの考えられる全てのパターンを組み合わせる「総当たり攻撃(Brute-force Attack)」等が挙げられます。
従来の課題点:ユーザーごとに異なるパスワード強度
「辞書攻撃」や「総当たり攻撃」が成功してしまう原因は、推測しやすいパスワードや桁数の少ないパスワードを設定しているユーザーが存在していることが考えられます。これらのユーザーは、誕生日やキーボードで入力しやすい文字列をパスワードに利用している特徴があります。組織の管理者が全てのユーザーに対してパスワード強度が十分であるか確認することは非常に手間と時間がかかるため、多くの組織において課題となっています。
YubiKeyでの解決方法:パスワードレス認証でのログイン
パスワード認証の脆弱性に対して有効なYubiKeyの機能は「パスワードレス認証」です。パスワードレス認証は、FIDO2認証とも呼ばれており、パスワード認証に代わる認証方式として期待される技術です。パスワードレス認証は、パスワードを使用せず、認証情報をWebサービスの認証サーバに保存しない特徴があります。そのため、悪意のある攻撃者によって認証情報を盗まれる心配がなくなります。また、パスワードレス認証により、ユーザーはパスワードの桁数や複雑性、強度について意識する必要がなくなり、安全にWebサービスを利用できます。さらには、パスワード認証の脆弱性に関する心配がなくなり、管理者の負荷を減らすことができます。
煩雑なパスワード管理
業務で様々なWebサービスを利用している場合、各サービスでパスワードを設定する必要があります。ユーザーは記憶するパスワードの数を減らすために、同じパスワードを複数のサービスで使い回してしまうことがあり、この点がパスワード認証における脆弱性となっています。悪意のある攻撃者は、この脆弱性を利用して、一つのサービスで認証情報を盗み出し、他のサービスにもアクセスできるようになります。この攻撃手法は「パスワードリスト攻撃」といい、情報漏洩等のセキュリティインシデントを引き起こす脅威となっています。
従来の課題点:パスワード管理負荷の増大
ユーザーが同じパスワードを複数のサービスで使い回してしまう原因は、管理するパスワードが多いことが挙げられます。近年では、パスワードマネージャーの利用が広まり、記憶すべきパスワードの数が減る傾向にあります。しかし、過去にはパスワードマネージャーのマスターパスワードがPCのメモリから復元できてしまう脆弱性が報告されています。パスワードマネージャーが最新バージョンでない場合、悪意のある攻撃者がこの脆弱性を悪用してマスターパスワードを盗み、全てのサービスに不正ログインする懸念があります。このように、パスワードマネージャーを利用していても、パスワード管理の課題や脆弱性は依然として残り、解消することは難しいと考えられます。
YubiKeyでの解決方法:YubiKeyとパスワードマネージャーの組み合わせ
YubiKeyの「Secure Static Password」という機能とパスワードマネージャーを組み合わせることで、煩雑なパスワード管理における脆弱性対策となり、従来の課題を解決することができます。Secure Static Passwordは、YubiKeyに1つの安全なパスワードを記憶させることができる機能です。この機能を利用して、パスワードマネージャーのマスターパスワードをSecure Static Passwordとすることで、ユーザーはパスワードマネージャーに保存された様々なWebサービスのパスワードを安全かつ簡単に参照できます。これにより、ユーザーはパスワードを覚える必要がなくなります。
多要素認証の脆弱性と課題 -YubiKeyの機能を活用した対策-
多要素認証は、Webサービスへの不正ログインを防ぐために有効な手段として利用されてきました。しかし、多要素認証にも脆弱性が存在しており、その脆弱性を標的としたサイバー攻撃が年々増加しているため、必ずしも安全であると断言することはできません。また、多要素認証の脆弱性に関する認知度はまだ低く、多要素認証を設定していれば安全であるという誤った認識が被害の増加を助長しています。ここでは、多要素認証における脆弱性と課題を説明し、YubiKeyを利用した解決方法について紹介します。
フィッシング詐欺による被害
多要素認証の脆弱性を狙ったサイバー攻撃が「フィッシング詐欺」です。フィッシング詐欺とは、悪意のある攻撃者が、本物と同じような見た目の詐欺サイトを正規のユーザーに送信し、そこでユーザーが入力したユーザーID、パスワードを盗んで不正ログインを試みる手法です。従来のフィッシング攻撃では、これらの認証情報のみを盗む手法でしたが、近年では多要素認証で利用するワンタイムパスワードも盗む手法へと進化しています。正規のユーザーは、詐欺サイトが本物のサイトと同じような見た目であるため、気づかずに認証情報を入力してしまうことがあります。
従来の課題点:多要素認証の脆弱性を狙った詐欺サイトの存在
フィッシング詐欺が増加している主な原因は、ユーザーが簡単にアクセスできるメールやSMSを通じて詐欺サイトへ誘導されることです。悪意のある攻撃者から送信されるメッセージは本物と見分けることが難しいものも数多く存在しています。中には、詐欺サイトへの誘導にオープンリダイレクトという脆弱性を悪用したものもあります。この脆弱性では、Webサイトが他ページや外部サイトへリダイレクトする機能を悪用し、攻撃者が用意した詐欺サイトにユーザーを誘導させることができます。攻撃者がこの脆弱性を悪用した場合、メール・SMS等のメッセージ内のURLに含まれるドメインは本物のサイトと同じものが利用されるため、ユーザーは気づかずに詐欺サイトへアクセスしてしまう恐れがあります。
YubiKeyでの解決方法:詐欺サイトに悪用されない認証機能
フィッシング詐欺への対策として有効なYubiKeyの機能は「WebAuthn」という認証技術です。通常の多要素認証プロセスで使用されるワンタイムパスワードは、悪意のある攻撃者によって盗まれることがありますが、WebAuthnでは、ユーザーが認証時に秘密鍵と公開鍵の作成を行い、その後本人性の検証結果に対して秘密鍵を用いて署名を行います。悪意のある攻撃者は正しい秘密鍵を持っていないため、Webサービスが保有している公開鍵で検証を行うと、不正なユーザーであることが検知されます。この仕組みによって従来の多要素認証における脆弱性への対策となり、フィッシング詐欺による不正ログインを防ぐことができます。
多要素認証疲労攻撃による被害
多要素認証の脆弱性を悪用したサイバー攻撃に「多要素認証疲労攻撃(MFA Fatigue Attack)」があります。多要素認証疲労攻撃とは、特定のユーザーの認証情報を不正入手した攻撃者が、何回もログインを試行し、認証通知を送信し続ける手法です。攻撃者は、多要素認証疲労攻撃を利用して、ユーザーのスマートフォンへ送信された認証通知へ承認させることを狙いとしています。ユーザーは送信された認証通知へ誤って応じてしまったり、止まらない認証通知に焦って承認してしまうことがあります。
従来の課題点:止まらない認証通知へのヒューマンエラー・焦り
多要素認証疲労攻撃が成功する原因は、止まらない認証通知によって、ユーザーがヒューマンエラーまたは焦りから承認してしまうことです。多要素認証疲労攻撃は、Webサービスのパスワードを変更することで回避することができますが、ユーザーはそのことに気づかず、誤って承認してしまうことがあります。多要素認証疲労攻撃について、事前にユーザーへ注意喚起することは対策として効果的ですが、管理者が攻撃を検知することは難しいという問題があります。
YubiKeyでの解決方法:認証要求が送信されないYubiKeyの利用
多要素認証疲労攻撃を解決する方法としても、YubiKeyを利用することが有効です。YubiKeyを多要素認証に利用する場合、悪意のある攻撃者が不正ログインを試みても、認証通知が送信されない仕組みになっています。また、YubiKeyを利用した多要素認証では、YubiKeyによる認証をもって本人であることを証明するため、多要素認証疲労攻撃やなりすましによる被害を防ぐことができます。
従来の認証方式の脆弱性対策をYubiKeyで実現
この記事では、従来の認証方式である「パスワード認証」と「多要素認証」における脆弱性や課題に対して、YubiKeyを利用してどのように解決するかについて紹介しました。YubiKeyは、従来の認証方式への脆弱性対策となる認証方式を幅広くサポートしており、ユーザーが安全かつ簡単にWebサービスの認証を行えるようになります。また、YubiKeyの導入は非常にハードルが低い点も評価のポイントです。従来の認証方式における脆弱性や課題への対策を検討されている方の参考となりましたら幸いです。
