Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

ログイン情報の大量盗難によって注目される新たなパスワードシステム

ロシアのサイバー犯罪者グループが 42 万カ所の Web サイトからユーザー名とパスワードを盗み取りました。パスワード以外の認証方法に目を向けるべきときが来たのかもしれません。
Created: 11 Aug 2014 04:42:10 GMT • Updated: 18 Aug 2014 06:36:50 GMT • Translations available: English, Português, Español
Laura O'Brien's picture
0 0 Votes
Login to vote

STOLEN_PASSWORDS_HEADER.jpg

最近、ロシアのサイバー犯罪者グループが、42 万カ所の Web サイトから 12 億件のユーザー名とパスワードを盗み取ったという報告がありました。被害を受けたのは、フォーチュン 500 社の企業サイトから小規模なサイトまでさまざまですが、これらのサイトの多くで攻撃に対する脆弱性が未だに残っているため、企業名は公表されていません。

このグループは、ボットネットを使って脆弱性を持つ Web サイトを洗い出したうえで、これらの情報を取得したとされています。攻撃者はボットネットに感染したコンピュータを使って Web サイトにアクセスし、脆弱性の有無を確認するため SQL インジェクション攻撃を実行させます。脆弱性が確認された Web サイトは記録しておき、後日に攻撃を仕掛けてデータベースから情報を盗み取ります。

攻撃者は、盗み取った情報をオンラインで売りさばくよりも、スパムメッセージをソーシャルネットワークに送信するために使用することが多いといわれています。たとえそうであっても、サイバー犯罪者にとってこうした情報が多大な価値を持つことに変わりはありません。パスワードがサービス間で使いまわされている場合、この情報を使って他のアカウントを侵害すればさらに重要な情報を取得できるからです。

パスワードシステムの問題
今回の事件で再び、現状のパスワードシステムがどれほど脆弱であるかが明らかになりました。ユーザーは、パスワードを多数の Web サイトで使いまわしたり、容易に推測できるパスワードを使ったりしがちです。そのため、攻撃者が Web サイトを侵害してユーザーのログイン情報にアクセスしてしまうと、この情報を使って多数のオンラインアカウントに不正アクセスが実行される可能性があります。

深刻な脆弱性が報道された場合ですら、パスワードを変更するユーザーは多くありません。Pew Research Center による最近の調査では、Heartbleed(ハートブリード)脆弱性について知識がある人のうちパスワードを変更したのは 4 割未満でした。

ユーザーを非難するのではなく、オンラインサービス利用時の認証方法をどのように改善するかに目を向けるべきでしょう。消費者や企業向けの情報技術が急速な進化を遂げている今こそが、好機かもしれません。

モバイルデバイスによる認証
スマートフォンが普及したおかげで、2 要素認証の利用が拡大しました。ユーザーはパスワードでログインした後、電子メール、SMS メッセージ、モバイルアプリを使って第 2 の一時的な認証コードを取得します。つまり、ユーザーのパスワードが侵害された場合でも、攻撃者が標的のアカウントに侵入するためには、2 番目の認証方法にもアクセスする必要があるということです。

安全なログインのための次の段階は、生体認証です。この技術は以前から存在していましたが、昨年 Apple 社が iPhone 5s に指紋センサーを組み込んだことで一般化しました。ホームボタンに指を置くだけで、スマートフォンのアンロックや iTunes での購入の認証が可能になります。他のスマートフォンメーカーもこの機能を組み込み、6 月には Apple 社がこの機能をすべてのアプリに公開して、さらなる普及に貢献しています。

スマートフォンでの生体認証に使われるのは、指紋だけではありません。Samsung 社役員の最近の発言によると、同社は虹彩で本人を特定するデバイスの作成について研究を進めているようです。

認証の将来
新しい認証技術はこれだけではありません。さらに進化しています。Google 社の Advanced Technology and Projects グループの責任者である Regina Dugan 氏は昨年、タトゥーや錠剤によってユーザー認証が可能であることに言及しています。この場合、デバイスや車や家の玄関に触れるだけで、ロックを解除することができます。

オックスフォード大学からスピンアウトした Oxford BioChronometrics 社でも、新しい認証システムを開発しています。このシステムでは、ユーザーがデバイスを操作する際に、入力時のデバイスの傾斜度、スクロールの速さ、マウスの動きなどさまざまなふるまいを測定します。これらの情報を組み合わせて生成した、「電子的に定義された属人的な属性(eDNA)」を使ってユーザーを認証します。

ケンブリッジ大学の科学者 Frank Stajano 氏は、電子的オーラがパスワード問題に対する新しい解決策になると考えています。このシステムでは、身に着けたアクセサリや皮下に埋め込まれたインプラントから電子的オーラを発生させます。電子的オーラは装着者の周囲約 1 メートルに及び、ユーザーが所有するデバイスのみがこの信号を検知します。信号の範囲内であればキーホルダーで車のロックを解除できますが、範囲外では動作しません。Stajano 氏はまた、オンラインサービスの多数のパスワードを保存する pico というデバイスの開発にも取り組んでいます。このデバイスは電子的オーラの範囲内でのみ有効になります。

情報を保護するために
このような認証技術の先進プロジェクトが実用化に至るまでには、まだ時間が必要です。今のところは、次の方法によってオンライン情報を攻撃者から保護することをお勧めします。

  • 常に強力なパスワードを使い、決して複数の Web サイトで使いまわさないようにします。
  • Web サイトで 2 要素認証が提供されている場合は有効にします。シマンテックの Validation and ID Protection Service(VIP)であれば、企業は 2 要素認証およびトークン不要のリスクベース認証のどちらも導入することが可能です。
  • オンラインサービスの複数のパスワードを安全に保存する、ノートン ID セーフなどのパスワードマネージャを使用します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。