在宅時代の落とし穴に気を付けよ！多要素認証にまつわる話

皆さん、こんにちは。

クラウドソリューション部の井口です。

今回は、VPN機器からIDとパスワードが流出した情報セキュリティインシデントについての話と、その対応策の一例をお話ししたいと思います。

VPNがあれば安心？抜け道にご注意を

まずは、報道された情報セキュリティインシデントについて、簡単に説明いたします。

通常、ファイアウォール等で守られた社内ネットワークに対して、インターネット（社外ネットワーク）から接続する場合、VPNを通して安全な通信経路を確保したうえで接続します。今回のインシデントは、脆弱性をついた攻撃によってVPN機器から管理用IDとパスワードが盗まれたことが発端です。その情報が不正にやり取りされ、入手した別の悪意ある第三者によって、該当VPN機器への不正アクセスに使用されたと報じられました。VPN機器からは、接続していた社員の情報（IDとパスワード等）を抜き取られたようです。

該当のVPN機器は、2019年9月に脆弱性があるとの警告が発表され、対策用パッチも公表されていました。国外ではその脆弱性を突いた攻撃が確認されていましたが、2020年3月にJPCERT/CCから国内企業への攻撃が確認されたとの公表がなされていました。

そして、先日VPNを突いた攻撃とテレワークを絡めた記事が公開され、複数メディアがその情報を報じました。

コロナ禍において各企業が急速にテレワーク化を進めてきたなかで、多くの企業が使用しているVPNという装置の脆弱性を突いた攻撃ということで大きく報道されました。しかし、実のことをいうと、脆弱性を突いた攻撃自体は、それほど珍しいものではありません。そもそも、脆弱性が公表された時点で攻撃される可能性が高いということであり、攻撃方法を悪意ある第三者が確認すれば、いつ攻撃されてもおかしくないということは認識おかなければいけないと考えます。ゼロデイ攻撃は、まさにその脆弱性の発見と修正の間を突いた攻撃といえます。

今回の情報セキュリティインシデントに対して、当方で確認したうち一社のみプレスリリースを出されておりました。内容としては、「テレワークで既存VPNだけでは間に合わなくなったため、急遽旧VPN機器を導入したが、脆弱性が存在しており攻撃を受けた」とのことです。

IDとパスワードは流出したとのことですが、それを利用した攻撃は企業端末として認められた機器以外からの攻撃だったため、アクセスはブロックされ社内ネットワークへの侵入はなかったということです。この会社では、社内ネットワークに接続する端末をすべて管理されておられたようですので、このような対応が出来たと想定しております。

他社の実例を糧に、セキュリティを強固にする

さて、ここで皆さんと考えていきたいのは、それぞれ皆さんの会社が、社内ネットワークに接続する機器をすべて管理できているのだろうか、ということです。

昨今、業務利用端末として社給モバイルだけでなく、個人所有の端末(BYOD)の利用についてもご要望を多く伺います。

テレワーク化が急速に進む中で、持ち出し用のPC手配が間に合わず、自宅の個人PCを業務利用している企業からセキュリティを強化したいとのご要望をいただく機会も増えました。

さらに、業務システムがクラウド化していく中で、VPNで社内に接続してから利用するのはオーバーヘッドが大きいため、直接クラウドに接続したいがセキュリティは確保したいとの声も多く伺います。今後、このような声がさらに多くの企業で聞かれるようになってくると、どの端末からでもシステムへアクセスすることが当たり前の時代になってくると思われます。

その場合、今回のように不正な攻撃によりIDとパスワードが流出してしまえば、システムへの不正アクセスを防止することは非常に困難になってきます。

パスワードクラックのような攻撃であれば、パスワードの長さや複雑さを設定することで防ぐことがある程度可能なのですが(ある程度と書いたのは、昨今の解析技術の進歩スピードはすさまじいものであるためです)、脆弱性をついてパスワードを取得された場合は無意味になってしまいます。

そこで今回対応策の一例としてお話しするのが、「多要素認証」についてです。

「多要素認証」とは

多要素認証とは、「知っているもの」(パスワード等)、「所持しているもの」(デバイスや認証カード等)、「人が備えているもの」(指紋、網膜、声帯等)の複数を組みわせた認証のことです。

IDとパスワードであれば、その情報を知っていればアクセスできますが、そこに「所持しているもの」と、「人が備えているもの」が加わると、不正アクセスの難易度が格段に上がっています。例えIDとパスワードが流出しても、「所持しているもの」か「人が備えているもの」がなければアクセスは出来ません。

ちなみに、悪意ある第三者による不正アクセスの主目的は、知り得た情報を売買することによって金銭を得る、ということはご存じでしょうか。例外として、いくつかの国では他国の情報を得るために組織的にクラッキングを行っているといわれていますが、多くは金銭目的となります。そして、多くの悪意ある第三者は、不正アクセスをする際にもツールを使用するなどして、なるべく手間をかけずに情報を得ようとします。その際、壁を乗り越えるための労力が多大である場合は、途中で不正アクセスをあきらめる可能性が高いともいわれています。

このような背景があるため、セキュリティに関しては多層防御を勧めています。

話を戻しますと、不正アクセスの際に乗り越えなければならない最初のハードルが認証です。IDとパスワードだけでの認証では、VPN機器の脆弱性を突かれてIDとパスワードが盗まれたことからも分かるように、悪意ある第三者にとっては容易なターゲットとして認識されてしまいます。

また、業務システムがクラウドから提供されることが当たり前になってきた以上、VPN接続による社内ネットワークを経由したクラウドへのアクセスは、今後少なくなると想定できます。いずれは直接クラウド上のシステムへアクセスすることが当たり前の時代になるでしょう。

そして、アクセスする機器についても選択肢が増えることで端末管理にも限界が発生しますので、テレワーク化が進む以上、社員の方がどこからでも安全にアクセスするための方式を整備することが急務といえると考えております。

多要素認証を取り入れた業務での使用感は？

ここまでお読みいただいた方の中には、多要素認証と一言でいわれても、実際に使い勝手はどうなんだろうと懸念を持たれる方もいらっしゃると思います。

そこで、多要素認証の使い勝手の例として、私が実際に業務で使用している方法をご紹介します。

私が所属する部署ではMicrosoft365を使用しており、アクセスする際は多要素認証が要求されるように設定されております。いくつか選択肢があるなかで、私はモバイルアプリであるMicrosoft Authenticatorを使用した認証を選択しています。システムへのアクセス時にIDを入力するとAuthenticatorに認証通知がとび、画面に表示された番号をAuthenticatorで選択するとサインインできるという方法になります。もちろん、使用しているスマートフォンはパスコード、または指紋認証でのアクセスをかけています。

「所持しているもの」であるスマートフォンと、「知っているもの」であるパスコードか、「人が備えているもの」である指紋の2要素認証でサインインとなっています。この方法の場合、パスワードを入力することはありません。

現在、このようなAuthenticatorアプリはいくつか提供されており、それを使用可能なサイトも徐々に増えています。有名なところでいうと、Amazonのサイトでも認証にAuthenticatorアプリを用いることが可能となっています。

Authenticatorアプリを使用しない方法も、もちろん提供されています。登録した電話に対してSNSメッセージでの通知や、着信で音声による認証番号の連絡など、いくつかの選択肢がありますので、ご要望にあった方法を選択していただけます。

多要素認証を導入するのに何が必要でしょうか？

多要素認証というと複雑な手順が必要なイメージがあるかもしれませんが、常に所持しているスマートフォンで操作するだけなので、長いパスワードを覚えるより簡易ですし、セキュリティ的にも向上しますので、導入することをお勧めいたします。

IDとパスワードのみの認証については、前述したようにセキュリティ的な課題がいくつかありますし、長く複雑なパスワードであっても解析される可能性があると同時に、人が覚えられる内容には限界があります。このような観点からも、多要素認証の魅力を感じられるのではないでしょうか。

余談ですが、私が所属しているアイエスエフネット・クラウドソリューション部では、Microsoft社が提供するMicrosoft365を中心とした製品ソリューションを提供しています。Microsoft365の認証システムであるAzureADは、多くの企業で使用されているActiveDirectoryと容易に連携が可能であり、多要素認証についてもいくつかのオプションを選択することが可能です。そして、多要素認証と合わせて、特定条件におけるアクセス制御のシステムを組み合わせることで、より強固なセキュリティが構築できます。

これは一例ですので、多要素認証に興味のある方は、お気軽にご相談ください。

関連ソリューション情報

Microsoft Office 365導入支援ソリューション

当社HPトップ

まずは相談する方はこちら　

※この記事は、公開時点の情報をもとに作成しています。

株式会社アイエスエフネット概要

代表：渡邉 幸義

住所：東京都港区赤坂7-1-16オーク赤坂ビル 3階

設立：2000年1月12日

アイエスエフネットは、約2,000名のクラウド、サーバー、ネットワークセキュリティなどのITインフラエンジニアが在籍し、お客さまの導入する情報通信システムに対するニーズに合わせ、幅広いソリューションを展開するITインフラ企業です。日本全国19カ所の拠点に加え、中国、韓国、インドにも拠点を展開（2020年1月1日時点)。

当社HPトップ