「認証」にまつわる攻撃が増えています。利用者本人を特定するために、IDとパスワードを用いた「パスワード認証」が一般的になる中、それを突破するために全ての英数字の組み合わせを試す「総当たり攻撃」、パスワードに利用されやすい文字列を試す「辞書攻撃」、本人から何かしらの手を使ってIDとパスワードを聞き出す「ソーシャルエンジニアリング」、別のサービスから流出したIDとパスワードを使った「パスワードリスト型攻撃」、偽サイトに誘導してIDとパスワードの入力を求める「フィッシング」といった、さまざまな攻撃による不正アクセスが流行しています。
IDS/IPSやWAFには、これらの攻撃に対する対策機能もありますが、脆弱(ぜいじゃく)性を利用したクロスサイトスクリプティング(XSS)などの攻撃とは違い、これらの認証に対する攻撃を防ぐことは難しいのが現状です。いまできる対策としては、長く複雑なパスワードを利用すること、さらに使い回さないようすることなどが呼び掛けられています。
関連記事
「STOP!! パスワード使い回し!!」キャンペーン開始:
面倒だけど避けては通れない、いまこそ考える「パスワード使い回し対策」(@IT)
http://www.atmarkit.co.jp/ait/articles/1409/17/news094.html
そこで、これらの認証に対する攻撃を、どう対処すべきなのかについて述べたいと思います。また、認証において多要素認証を実施することが推奨されていますが、実際にどういった効果があるのかについても一緒に考えてみます。
多要素認証、多段階認証とは
多要素認証や多段階認証について語る前に、「認証」について振り返ってみましょう。
「認証」とは、ユーザー総数(n人)の中から1人を識別(個人識別)し、識別された1人が確かに認証を行いたい本人であるかどうか検証(本人認証)することで、ユーザーを特定する作業のことをいいます。
つまり、認証には「個人識別」と「本人認証」の二つの側面があるといえます。
識別を行うための情報は、ある程度の他者と重複しない性質(唯一性)と、ある程度変わらない性質(不変性)があればよいとされていますが、本人認証に用いられる情報は本人固有の情報(固有情報)である必要があります。固有情報とは、検証時に用いられる認証情報であり、主に生体情報、所持情報、知識情報に分類されます。これらを「認証の3要素」といいます。
要素 | 説明 | 固有情報 | 必要機器 |
---|---|---|---|
生体情報(SYA;Something You Are) | 生物固有の情報・特性 | ・指紋 ・静脈 ・顔 ・声紋 | カメラ マイク 指紋リーダー 静脈リーダー |
知識情報(SYK;Something You Know) | 本人しか知らない情報 | ・パスワード ・ワンタイムパスワード ・秘密の質問 ・属性情報(本人のみ知る情報) | キーボード マウス タッチパネル |
所持情報(SYH;Something You Have) | 本人しか持っていない情報やもの | ・ICカード ・ハードウェアトークン ・携帯電話 ・公的証明書 | スキャナ カードリーダー |
生体情報とは「生物固有の情報」で「不変不動」
生体情報は、主に顔や声紋、指紋、静脈などが用いられます。生物固有の情報であり、一般的に不同なものを利用します。本人以外が持ち合わせない情報であるため、原理的に極めて「なりすまし」が困難であり、高いセキュリティを実現できる認証方式で、現在「バイオメトリクス認証」や「生体認証」として研究されています。
しかし、生体情報も「データ」であるため、生体情報を盗まれた際に、生体情報の「データ」を盗むことで認証を突破される危険性があります。また、生体情報は、個人の身体・行動にかかわる固有の情報であり、不変不同のものであるため、漏えいすると安全性を回復することが困難になります。
所持情報とは「本人しか持っていないもの」
所持情報は、本人しか所持していないもののことをいい、主に身分証明書やクレジットカード、携帯電話、IC(Integrated Circuit)カードなどがあります。特にICカードは公開鍵暗号方式を応用して認証を行っており、公開鍵暗号方式における秘密鍵を、解析されにくいように、耐タンパ性を高めることで保護するなど、外部から秘密鍵を読み取れなくすることで、工学的に高いセキュリティが確保されます。
しかし、所持情報は物理的なものであるため、紛失や盗難といった問題がつきまといます。
知識情報とは「本人以外が知り得ないもの」「コストが低い故に限界があるもの」
知識情報は、本人しか知り得ない情報のことをいい、パスワード認証として最も普及・利用されている基本的な認証技術です。
記憶するだけでよいため、汎用性が高くコストが低い情報です。しかし、忘却、漏えいの危険性が高く、漏えいに気付きにくいといった問題があります。特に、パスワード認証におけるパスワードには前述のようにさまざまな攻撃手法があり、セキュリティ的にはとても問題があるといえるでしょう。結果的に、パスワード認証だけ、知識情報だけで認証を行うには限界があると考えられます。
Copyright© 2014 ITmedia, Inc. All Rights Reserved.