多要素認証の重要性と利用に関する注意点とは
DXの進展に伴い、様々なサービスがオンライン化されています。
インターネットバンキングを代表する金融資産はもとより、SNSでの発信など個人のアイデンティティもデジタル化、オンライン化が進んでいます。
中にはインターネットバンキングにログインできなくなるより、SNSにログインできなくなる方が困るという方もいるのではないでしょうか。
そのような重要なオンラインサービスにおいて不正アクセスから身を守るための方法を、内閣サイバーセキュリティセンター(NISC)と独立行政法人情報処理推進機構(IPA)が啓蒙するサイバーセキュリティ対策9か条の3条目「多要素認証を利用しよう」をもとに紹介します。
目次
多要素認証とは
多要素認証(Multi-Factor Authentication、MFA)は、ユーザーがシステムやアカウントにアクセスする際に、複数の認証要素を提供することを要求するセキュリティ手法です。
要素は3つのカテゴリに分類されます。
知識要素(Something You Know)
ユーザーが知っている情報です。
例えば、パスワードや暗証番号(PINコード)などが含まれます
所有要素(Something You Have)
ユーザーが所有している物理的なアイテムやデバイスです。
これには、スマートフォンやUSBトークン、スマートカード、またはハードウェアキーなどが含まれます。
生体要素(Something You Are)
ユーザーの生体的特徴です。
指紋、虹彩、顔のスキャン、声の認識などがこれに該当します。
多要素認証は、これらの要素の組み合わせによって、不正アクセスから身を守ります。単一の要素(例えばパスワードのみ)を使用する場合、攻撃者がその要素を盗むか推測することでアカウントに侵入する可能性が高まります。しかし、多要素認証では、攻撃者は複数の認証要素を同時に持つことが必要となり、セキュリティが向上します。
このように説明すると難しく感じますが、多要素認証は身近で利用しています。
代表的なものは銀行のキャッシュカードでの払い戻しです。
ATMで現金を払い戻しする際には、銀行が発行したキャッシュカードが必要です。このキャッシュカードが「所有要素」です。
キャッシュカードをATMに挿入後、払い戻しの処理を行うと暗証番号の入力を求められます。この暗証番号が「知識要素」です。
たとえ道端で誰かのキャッシュカードを拾っても、暗証番号がわからなければお金を引き出すことはできず、逆に知人の銀行の暗証番号を知る機会があっても、キャッシュカードがなければお金を引き出すことはできません。このようにどちらかの要素が欠けているとお金を不正に引き出すことができない点が預金の払い戻しにおける多要素認証です。
多要素認証が利用されるようになった背景
DXの進展に伴い、インターネットバンキングやネット証券など、オンラインで金銭のやり取りをするシステムが普及した点が背景に挙げられます。前述のATMでのキャッシュカードによる払い戻しを例にすると、インターネットバンキングはキャッシュカードを利用しないため、代わりの所有要素としてワンタイムパスワード等が急速に普及しました。
また、フィッシングによる認証情報の窃取やブルートフォースアタック、パスワードリスト攻撃などサイバー攻撃の巧妙化も挙げられます。
内閣サイバーセキュリティセンター(NISC)と独立行政法人情報処理推進機構(IPA)が啓蒙するサイバーセキュリティ対策9か条の2条目「パスワードは長く複雑にして、他と使い回さないようにしよう」で示されている「パスワードの使い回し」の注意はパスワードは漏えいするという前提に基づいています。
この前提をもとに、攻撃者がIDやパスワードを不正に入手したあとの対策を行うことが多要素認証が利用されるようになった背景です。
多要素認証の種類
認証には様々な種類があります。
知識要素 (Something You Know) | 所有要素 (Something You Have) | 生体要素 (Something You Are) | |
---|---|---|---|
概要 | ユーザーの記憶している情報に基づいた認証要素。 システムへの組み込みが簡単なこともあり、オンラインサービスの主流の認証方法。 | ユーザが所有している物理的なモノに基づいた認証要素。 キャッシュカードやUSBトークンなど直接的なものから、スマートフォンに設定されている電話番号を利用したSMS認証や、認証アプリによるものもある。 | 指紋や顔、声紋など個人で異なる生体的特徴を利用した認証手段。 サイバー攻撃に強く、物理的なデバイスも必要ないが、認証デバイス(センサー等)にコストや技術的な制約が発生することがある。 |
代表例 | ・ID/ユーザ名 ・パスワード、パスフレーズ、暗証番号(PINコード) ・秘密の質問 | ・ハードウェアトークン USBトークン ICカード、磁気ストライプカード 鍵 SMS認証 ・ソフトウェアトークン メール認証 Google Authenticator Microsoft Authenticator ・ワンタイムパスワード | ・指紋 ・虹彩 ・声紋 ・顔 ・静脈 ・行動(筆跡・振る舞い) |
メリット | ・持ち運び不要 ・変更が容易 | ・運搬が可能 | ・ユーザの同意なく利用できない ・持ち運び不要 ・盗難、偽造のリスクが低い |
デメリット | ・推測やサイバー攻撃で見破られることがある ・忘れることがある | ・紛失や盗難のリスクがある ・破損することがある ・認証装置のバッテリー切れの可能性がある | ・認識エラー ・生体情報の変化 ・生体情報が盗まれたり偽造された場合に変更できない |
多要素認証は、異なる要素の認証方式を2種類以上組み合わせたものです。
似た言葉に多段階認証があります。多段階認証は同じ要素の認証方式を組み合わせたもので、多要素認証とは異なります。
FIDO(Fast IDentity Online)認証
近年ではパスワードを使用しない認証であるFIDO認証に注目が集まっています。FIDO認証の代表的な例は、スマホの持つ生体認証機能を用いて、所有要素と生体要素をあわせもった多要素認証を行うものです。
また、FIDO認証は、パスワードのように認証に必要な要素をサーバと端末間でやりとりしないため、不正アクセスに対する耐性が高い仕組みです。
多要素認証に関する注意
多要素認証機能の有効化が必要な場合がある
サイバーセキュリティ対策9か条の3条目「多要素認証を利用しよう」が意図する意味を考えます。多要素認証はユーザーが能動的に利用しなければいけないものでしょうか。
セキュリティ対策に有効な多要素認証ですが、認証の回数が増えるためユーザの負担は増えます。
中には、頻繁にサービスにログインするので、毎回多要素認証するのは面倒という方もいます。そうした方のために、サービスによっては多要素認証の機能を利用するかしないかをユーザが選択できるものもあります。
セキュリティのためには有効化することをお勧めしますが、注意点としては、初期状態は「利用しない」と設定されており、ユーザが能動的に機能を有効化しないと利用できない場合があります。
新規のサービスを利用する場合は多要素認証の有無を確認したり、利用中のサービスに多要素認証の機能が実装された場合は初期値がどのようになっているか確認しましょう。
多要素認証疲労攻撃(MFA Fatigue Attack、MFA Bombing)
多要素認証疲労攻撃とは、専用アプリのプッシュ通知やSMSによるログインの許可要求を狙った攻撃です。
手口は複数あります。
- ログイン認証の通知を大量に送り、ユーザが煩わしさや恐怖に耐えかねて許可を押してしまう
- ログイン認証の通知を大量に送り、誤操作で許可してしまう
- 就寝中など判断力が落ちているタイミングにログイン認証を送信し、誤操作を狙う
- ログイン認証の通知とともに、運営を装い「認証要求を止めるためには許可ボタンを押してください」と通知する
対策
パスワードを使い回すことにより発生する攻撃は「パスワードリスト攻撃」です。
多要素認証の通知が送信されているということは、前段にあるIDとパスワードを攻撃者が入手しているということです。
パスワードを再設定することにより攻撃者が現在掴んでいるパスワードでログインできない状態にすることが有効です。
また、多要素認証が複数選べるサービスの場合は、生体認証を利用することも有効です。
まとめ
サイバー攻撃が巧妙化するなか、IDとパスワードによるベーシック認証は突破されることを前提に、多要素認証を積極的に活用することが求められています。
多要素認証の利用がユーザに委ねられているサービスもあるため、改めて利用中のサービスについて確認し、自身の身を守るため利用するようにしましょう。