確実なデータ消去ならピーシーキッド

フリーダイヤル東京/0120-56-2982 大阪/0120-25-2982
CONTACTお問い合わせ

最新情報NEWS

HOMEブログ従来のパスワード認証から「パスキー認証」へ

従来のパスワード認証から「パスキー認証」へ

パスワード認証で守られてきた各種サービス

銀行や証券会社、動画や音楽ストリーミング、EメールにSNS、オンライン会議ツールや各種決済サービス。インターネット環境さえあれば、銀行に並ぶ必要もなく、好きな時間に映画を楽しみ、本屋やCDショップに足を運ばなくても欲しい本が手に入り、仕事をしながら音楽も聴ける。 ランチタイムには外出することなく食事が届けられ、会議や打ち合わせもオンラインで参加でき、業務上必要なファイルはクラウド上でやり取りができる。オンラインサービスは、いつ、どんな場所からでも使用可能で、交通機関を使う必要もなく効率的なビジネスが実現し、コストも削減できると、メリットしかないように感じます。

インターネットが私たちにもたらす利便性はコロナ禍を経て益々多岐にわたっています。そのような状況にあって、各種サービスを使う私たちは果たしてパスワードの使いまわしをせず、安全に認証を通過できているでしょうか。

複数のサービスやアプリケーションで、同じか、または類似したパスワードを使いまわす行為は、セキュリティ上の重大なリスクを伴います。

パスワードリスト攻撃 ( Password List Attack )は、攻撃者が、何らかの手法で不正に入手したIDとパスワードの組み合わせを使って別のサービスへの侵入を図る攻撃です。対象者が同じパスワードの使いまわしをしている場合、芋づる式に他のサービスに侵入されてしまいます。

ソーシャルエンジニアリングを活用した不正アクセスの増加

近年、ソーシャルエンジニアリングを活用した不正アクセスや情報漏洩が増加傾向にあります。人間の心理的な隙を突く手法が多様化していて、攻撃手法が巧妙化しています。情報漏洩の原因は、技術的なものより、人の意識や行動によるものに起因した情報漏洩の比率が高まっています。AI技術の進化に伴い、攻撃の技術が高まり、なりすましでの不正アクセスを見抜くことが難しくなっています。それに加え、空港や駅などに設置された公共のUSBポートや見せかけの無料充電ステーションから情報を窃取する「ジュースジャッキング」(Juice Jacking)と呼ばれる手法など新しい攻撃方法も増えています。やむを得ず充電ステーションを使用する場合は、デバイスをロックした状態で充電するなどの対策が必要です。

状況設定や巧妙な話術でターゲットの行動を促し、権限や情報を引き出すソーシャルエンジニアリングを活用した不正アクセスには以下のような例があります。

  • ショルダーサーフィン
    デジタルな手法に頼らず、PCやスマホを使っている人の文字通り肩越しに後ろから覗き見る、望遠鏡を使う、近くで会話を盗聴するなどのアナログな手法を使って情報を窃取する手法です。
  • ピギーバッキング
    侵入者が権限がある人間に対して何らかの正当な理由があるように思いこませ、清掃員や技術者と身分を偽るなどして( サーバールームなどに )入室する権限が無いにも関わらず施設内に入ってしまう手法です。
  • スピアフィッシング
    特定の個人や組織について、事前に綿密な調査を行い、情報収集するなどして、上司や取引先などになりすまし、非常にパーソナライズされたメールで送金の指示出しや請求書送付をするなど緻密な情報収集後に行う手法で、ソーシャルエンジニアリングを活用した不正アクセスの中でも成功率が高い手法です。
  • なりすまし(フィッシング)
    金融機関やECサイト、証券会社などになりすまし、偽のWebサイトやURLを使って、個人情報(ID、パスワード、クレジットカード情報など)を詐取する手法です。
  • スカベンジング (トラッシング)
    スカベンジングとは、「ゴミ漁り」や「情報残骸」を意味する手法です。廃棄されたPCやスマホ、ゴミ箱の中の書類などからシュレッダーされていない廃棄書類、郵便物などをピックアップし、個人情報や機密情報を探し出します。
    •   
  • ベイト
    ターゲットに無料のソフトウェアなどを提供し、それを使用させることでマルウェアに感染させたり、情報抜き取りなどを行う手法

リモート認証からローカル認証へ

生活やビジネスのシーンで多くのオンラインサービスを使うようになった近年では、パスワード管理に限界を感じているユーザーが増えています。 複数のサービスやアプリケーションでパスワードを使いまわしたり、推測されやすいパスワードを使い続けることで、悪意のある攻撃者がアカウント認証を突破してしまうハードルが低くなっているのは紛れもない事実です。インターネットリテラシーが決して低くないはずの著名トレーダーの株式口座が被害にあったのも記憶に新しいと思います。セキュリティに万全の注意を払っている証券会社が不正アクセスの被害に遭うことは驚きを禁じ得ません。

パスワードレス認証を実現する認証技術の一つにFIDO認証があります。 FIDO認証では、パスワード認証のようなリモート認証を使うのではなく、ローカル認証を利用します。リモート認証においては、サーバー側に認証情報が保存されているため、サーバーから伝送途上で漏洩や窃取があるリスクがありました。 そのため、急激にローカル認証モデルのFIDO認証などが採用されるようになり、セキュリティの面での安全性が向上しています。アカウント作成時にFIDO認証を行い、アカウントとサーバーに紐づいたペアの鍵を生成し、サーバー側に渡すのは公開鍵なので、公開暗号方式の仕組み上、窃取されても読むことができません。認証を行う際はサーバー側から送られる認証用データを使って、クライアント側の秘密鍵で署名して認証確認データを作成し応答します。 パスキー認証はプロトコルレベルでフィッシングを防げることが最大のメリットです。

PAGE TOP