公開日:2023年12月20日
寄稿者:Matthew Kosinski、Amber Forest
2要素認証(2FA)とは、ユーザーが自分の身元を証明し、オンライン・アカウントやその他の機密リソースにアクセスするために、パスワードとワンタイム・パスコードのような2種類の証拠を提供する必要がある本人確認方法です。
ほとんどのインターネット・ユーザーは、SMSテキスト・ベースの2FAシステムになじみがあることでしょう。この場合、ログイン時にアプリからユーザーの携帯電話に数字コードが送信されます。続行するには、ユーザーはパスワードとこのコードの両方を入力する必要があります。どちらか一方を入力するだけでは不十分です。
2FAは最も一般的に使用されるタイプの多要素認証(MFA)であり、ユーザーが少なくとも2種類の証拠を提供する必要がある認証方法のことを指します。
2FAは、アカウントのセキュリティーを強化できるため、幅広く採用されています。ユーザーのパスワードは簡単に見抜かれたり、偽造されたりする可能性があります。2FAは、2つ目の要素を要求することで、セキュリティーの強化を図ります。ハッカーがシステムに侵入するには2つの認証情報を盗む必要があるだけでなく、2番目の要素は指紋や期限付きのパスコードなど、多くの場合、ハッキングが難しいものになっています。
IBM Security X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
データ侵害のコストに関する調査に登録する
例えば企業ネットワークなど、2FAセキュリティー・システムで保護されたリソースにユーザーがアクセスしようとすると、システムはユーザーに1つ目の認証要素の入力を促します。多くの場合、この1つ目の要素はユーザー名とパスワードを組み合わせたものです。
1つ目の要素が有効な場合、システムは2つ目の要素を要求します。2つ目の要素は、一時コードから生体認証など、バリエーションに富んでいる傾向があります。両方の要素が満たされた場合にのみ、ユーザーはリソースにアクセスできます。
2FAは通常、コンピューター・システムに関連付けられていますが、物理的な資産や場所を保護することもできます。例えば、立入禁止の建物に入るには、IDバッジを点滅させ、指紋スキャンをパスすることが求められる場合があります。
2FAシステムが使用できる認証要素には複数のタイプがあり、真の2FAシステムは、2つの異なるタイプの2つの要素を使用します。2つの異なる種類の要素を使う方が、同じ種類の2つの要素を使うよりも安全だと考えられています。なぜなら、ハッカーはそれぞれの要素を見破るために、別々の方法を使う必要があるからです。
例えば、ハッカーはユーザーのコンピューターにスパイウェアを仕込んで、パスワードを盗むことがあります。しかし、そのスパイウェアがユーザーの携帯電話のワンタイム・パスコードを手に入れることはありません。ハッカーは、これらのメッセージを傍受する別の方法を見つける必要があります。
ほとんどの2FA実装では、知識要素が1つ目の認証要素として機能します。知識要素とは、理論的にはユーザーだけが知っている情報です。パスワードは最も一般的な知識要素です。他には、暗証番号(PIN)やセキュリティー質問に対する回答も一般的です。
知識要素は一般に広く使用されているにもかかわらず、特にパスワードは認証要素としては最も脆弱なタイプです。ハッカーは、フィッシング攻撃や、ユーザーのデバイスにマルウェアをインストールすること、またはチャットボットを使用してパスワードの候補を生成し、1つのパスワードが機能するまでテストする総当たり攻撃を仕掛けたりすることで、パスワードやその他の知識要素を手に入れることができます。
他のタイプの知識要素には、それほど難しいものはありません。「母親の旧姓は何ですか」というような古典的な質問のように、多くのセキュリティー質問に対する答えは、基本的な調査をしたり、ユーザーを騙して個人情報を漏らすソーシャル・エンジニアリング攻撃を行うことで簡単に見抜くことができます。
パスワードとセキュリティーの質問を要求する一般的な方法は、同じ種類の2つの要素(この場合は2つの知識要素)を使用するため、真の2FAとは言えないというのは注目に値します。むしろ、これは2段階認証プロセスの一例です。
2段階認証は、2つの要素を必要とするため、パスワードのみの場合よりも安全です。それでも、これら2つの要素は同じ種類であるため、真の2FA要素よりも盗むのが簡単です。
所有要素とは、個人が所有しているもので、その人自身を認証するために使用できます。最も一般的な種類の所有要素は、ソフトウェア・トークンとハードウェア・トークンの2つです。
ソフトウェア・トークンは、多くの場合、ワンタイム・パスワード(OTP)の形式をとります。OTPは4~8桁の1回限りのパスコードで、一定時間が経過すると有効期限が切れます。ソフトウェア・トークンは、テキスト・メッセージ(またはEメールや音声メッセージ)でユーザーの携帯電話に送信されたり、デバイスにインストールされている認証アプリによって生成されたりします。
どちらの場合も、ユーザーのデバイスは基本的に所有要素として機能します。2FAシステムは、正当なユーザーのみが、そのデバイスと共有される情報またはそのデバイスによって生成される情報にアクセスできることを前提としています。
SMSベースのOTP は、最も使いやすい反面、最も安全性が低い所有要素です。ユーザーがこれらのコードを受信するにはインターネットや携帯電話への接続が必要であり、ハッカーは巧妙なフィッシング攻撃や中間者攻撃によってコードを盗むことができます。また、OTPは犯罪者が被害者のスマートフォンのSIMカードの機能的複製を作成し、それを使ってテキスト・メッセージを傍受するSIMクローニングに対しても脆弱です。
認証アプリは、ネットワーク接続なしでトークンを生成できます。ユーザーがアプリと自分のアカウントをペアリングすると、アプリはアルゴリズムを使用して時間ベースのワンタイム・パスワード(TOTP)を継続的に生成します。各TOTPは30~60秒で期限切れになるため、盗むのは困難です。一部の認証アプリは、TOTPではなくプッシュ通知を使用します。ユーザーがアカウントにログインしようとすると、アプリはプッシュ通知を携帯電話に送信します。ユーザーはそれをタップして、試行が正当なものであることを確認する必要があります。
最も一般的な認証アプリには、Google Authenticator、Authy、Microsoft Authenticator、LastPass Authenticator、Duo などがあります。これらのアプリは、テキスト・メッセージよりも見破るのが困難ですが、絶対確実というわけではありません。ハッカーは、特殊なマルウェアを使用して、オーセンティケーターから直接TOTPを盗んだり1、被害者が誤って認証することを期待して、不正なプッシュ通知をデバイスに大量に送信する多要素認証疲労攻撃を仕掛けたりします。
ハードウェア・トークンは、セキュリティー・キーとして機能する専用デバイス(キー・フォブ、IDカード、ドングル)のことです。ハードウェア・トークンの中には、コンピューターのUSBポートに差し込み、認証情報をログイン・ページに送信するものもあれば、プロンプトが表示されたときにユーザーが手動で入力する認証コードを生成するものもあります。
ハードウェア・トークンはハッキングが非常に困難ですが、ソフトウェア・トークンを含むユーザーのモバイル・デバイスと同様に、盗まれる可能性があります。実際、IBMのデータ侵害のコストに関する調査によると、デバイスの紛失や盗難がデータ侵害の要因の6%も占めています。
「生体認証」とも呼ばれる固有の要素は、指紋、顔の特徴、網膜パターンなど、ユーザーに固有の身体的特徴または特性です。現在製造されている多くのスマートフォンやノートPCには顔や指紋の読み取り装置が内蔵されており、多くのアプリやWebサイトはこの生体認証データを認証要素として使用できます。
固有の要素を見破るのは最も困難ですが、見破られると悲惨な結果になる可能性があります。2019年に、100万人のユーザーの指紋を含む生体認証データベースが侵害されました。 2理論的には、ハッカーはこれらの指紋を盗んだり、自分の指紋をデータベース内の別のユーザーのプロファイルにリンクさせたりすることが可能です。
さらに、AI画像生成の進歩により、サイバーセキュリティーの専門家たちは、ハッカーがこれらのツールを使って顔認識ソフトを欺くのではないかと懸念しています。
生体認証データが侵害された場合、迅速かつ簡単に変更することができないため、進行中の攻撃を阻止することが困難になります。
行動要素は、行動パターンに基づいてユーザーの身元を確認するデジタル・アーティファクトです。例えば、ユーザーの典型的なIPアドレス範囲、いつもの場所、平均的なタイピング速度などがあります。
行動認証システムは、人工知能を使用してユーザーの通常のパターンの基準を決定し、新しいデバイス、電話番号、または場所からのログインなどの異常なアクティビティーにフラグを立てます。2FAシステムの中には、ユーザーが信頼できるデバイスを認証要素として登録できるようにすることで、行動要素を活用するものもあります。ユーザーは最初のログイン時に2つの要素を指定する必要があるかもしれませんが、信頼できるデバイスの使用は、将来自動的に2つ目の要素として自動的に機能するでしょう。
行動要素は、リスク・レベルに基づいて認証要件を変更する適応型認証システムでも有効です。例えば、ユーザーは社内ネットワーク上の信頼できるデバイスからアプリにログインする際はパスワードだけで済むかもしれないが、新しいデバイスや未知のネットワークからログインする際には2つ目の要素を追加する必要があるかもしれません。
行動要素はエンド・ユーザーを認証するための高度な方法を提供しますが、導入するには多大なリソースと専門知識が必要です。さらに、ハッカーが信頼できるデバイスにアクセスした場合、ユーザーになりすますことができます。
知識要素は侵害しやすいため、多くの組織は、所有要素、固有の要素、行動要素のみを受け入れるパスワードなしの認証システムを検討しています。例えば、ユーザーに指紋と物理トークンの入力を求めることは、パスワードなしの2FA構成になります。
現在の2FA方式のほとんどはパスワードを使用していますが、業界の専門家は、将来的にはパスワードレス化が進むと予想しています。Google、Apple、IBM、Microsoftなどの大手テクノロジー・プロバイダーは、パスワードなしの認証オプションの展開を開始しています。 3
IBMのデータ侵害のコストに関する調査レポートによると、フィッシングと認証情報の侵害は、最も一般的なサイバー攻撃経路の1つです。これらを合わせると、データ侵害の31パーセントを占めます。どちらの経路もパスワードを盗むことで作用することが多く、ハッカーはこれを利用して正規のアカウントやデバイスを乗っ取り、大混乱を引き起こすことができます。
通常、ハッカーの標的はパスワードです。なぜなら、パスワードは総当たり攻撃や詐欺行為によって見破るのが非常に簡単だからです。さらに、人々はパスワードを再利用するため、ハッカーは盗んだ1つのパスワードを使って複数のアカウントに侵入できることがよくあります。パスワードが盗まれると、個人情報の盗難、金銭の盗難、システムの妨害など、ユーザーや組織にとって重大な結果を招く可能性があります。
2FAは、セキュリティーの層をさらに強化することで、不正アクセスを阻止するのに役立ちます。ハッカーがパスワードを盗むことができたとしても、侵入するには2つ目の要素が必要です。さらに、2つ目の要素は通常、知識要素よりも盗むのが困難です。ハッカーは、生体認証を偽造したり、行動を模倣したり、物理デバイスを盗んだりする必要があるからです。
組織は、コンプライアンス要件を満たすために2要素認証方法を使用することもできます。例えば、Payment Card Industry Data Security Standard(PCI-DSS)では、支払いカード・データを処理するシステムに対してMFAを明示的に要求しています。4サーベンス・オクスリー法(SOX)や一般データ保護規則(GDPR)などの他の規制では、2FAは明示的に要求されていません。しかし、2FAは、組織がこれらの法律で定められた厳格なセキュリティー基準を満たすのに役立つかもしれません。
データ侵害をきっかけに、組織が多要素認証の導入を余儀なくされるケースもあります。例えば、連邦取引委員会は2023年に、250万人の顧客に影響を与えたデータ侵害を受けて、アルコールのオンライン販売会社DrizlyにMFAの導入を命令しました。5
オンプレミスまたはクラウドでどのユーザーが組織のデータとアプリケーションにアクセスできるかに関する決定に、詳細なコンテキスト、インテリジェンス、セキュリティーを追加します。
クラウドIAMに、リスクベースの認証に必要な詳細なコンテキストを組み込みます。IBM Security VerifyクラウドIAMソリューションで、消費者と従業員にスムーズで安全なアクセスを提供します。
パスワードレス認証または多要素認証のオプションで、基本認証を超えてセキュリティーを強化します。
脚注
すべてのリンク先は、ibm.comの外部です。
1 Android malware can steal Google Authenticator 2FA codes、ZDNET、2020年2月26日
2 '1m fingerprint' data leak raises doubts over biometric security、ScienceDirect、2019年9月
3 You no longer need a password to sign in to your Google account、The Verge、2023年5月3日
4 PCI DSS:v4.0、Security Standards Council、2022年3月
5 In the Matter of Drizly, LLC、Federal Trade Commission、2023年1月10日