2022年12月、パスワード管理ツールを提供する米国企業 LastPass が不正アクセスを受け、顧客のユーザー名・パスワードリストのコピーのほか、ツール内で管理していたWebサービスのURLリストや、顧客の基本アカウント情報などが盗まれた事件は、記憶に新しい。
この事件について被害を受けた LastPass は、「ユーザー名やパスワードなどのデータは暗号化されているため安全であり、かつユーザーがデータにアクセスするためのマスターパスワードは保存・管理していないことから、ユーザー自身がベストプラクティスに従ったマスターパスワードを設定していれば問題ない」と伝えている。
しかし、パスワードはフィッシングによる窃取やブルートフォース攻撃などの方法で第三者が入手し、本人になりすまして不正にログインすることができてしまうという危険性があるのも事実。
はたして、大切な認証情報を管理するためのツールの入口をパスワードで保護することは、本当に安全であるといえるか。
こうしたパスワード管理ツールへの不正アクセス事件を受け、個人も企業・団体も、大切な認証情報を守る対策が急務であることは間違いない。
パスワード管理ツール利用者が増える実情
2008年から日本国内企業向けクラウド型アイデンティティ管理サービスを展開しているインターナショナルシステムリサーチ(ISR)は、パスワード管理ツールが常用される事情について、こう伝える。
「リモートワークの普及やさまざまなクラウドサービスの誕生により、仕事でもプライベートでもクラウドサービスを利用する機会が増え、管理するID/パスワードの数も増加している。
セキュリティ確保上、サービス毎に異なる複雑なパスワードを設定する必要があるため、覚えきれないなどの理由からパスワード管理ツールを利用する人も増えている」(ISR)
パスワード管理ツールへの不正アクセス、5つの特徴
また、インターナショナルシステムリサーチ(ISR)は、前述のようなパスワード管理ツールへの不正アクセス事件の現状について、Verizon レポートを引用し、「1. 人的要素が侵害の原動力となっている」「2. 80%の侵入は外部からの侵入によるものである」「3. 攻撃者のほとんどは金銭目当て」「4. Webアプリケーションへの攻撃が最も多い」「5. 侵害による影響はWebアプリケーションサーバーと、メールサーバーが上位」をあげている。
「マスターパスワード設定で問題ない」表明に、専門家は警告
今回、不正アクセス被害を受けた LastPass は、「ユーザー名やパスワードなどのデータは暗号化されているため安全であり、かつユーザーがデータにアクセスするためのマスターパスワードは保存・管理していないことから、ユーザー自身がベストプラクティスに従ったマスターパスワードを設定していれば問題ない」と表明していることに対して、専門家は次のように警告している。
BugCrowd CTO Casey Ellis氏:侵入者は顧客が使用するウェブサイトのアドレスのリストにアクセスできた。つまり侵入者はパスワード情報を保存しているすべてのWebサイトを見ることができ、それを使って攻撃を計画することができる。
セキュリティ研究者 Wladimir Palant氏:既存顧客のマスターパスワードは文字制限に準拠していない可能性がある。2018年以前に契約した既存顧客のマスターパスワードは12文字以下も設定でき、現状、8文字のパスワードに設定していてもログインできる。
インターナショナルシステムリサーチ(ISR)が推奨する不正アクセス対策
いっぽう、米政府機関によると、2022年に世界で公表された脆弱性件数は17年比56%増の2万3千件と過去最多となっていることを受け、「脆弱性が見つかれば製品を開発したメーカーが欠陥を塞ぐ修正ソフトを提供するが、対策をとらずに放置する企業は多い」と指摘。
2019年に米フォーティネットが公表したVPN機器の脆弱性では、その後に国内約600の企業や組織が被害を受けていることなどから、インターナショナルシステムリサーチ(ISR)は、こうした不正アクセスへの根本対策として、次の3つをまずあげる。
◆ 今すぐすべてのパスワードを変更する
◆ 2要素認証でセキュリティをさらに強化
◆ パスワードレス認証を導入
そこで、パスワードレス認証の CloudGate UNO に注目
この「パスワードレス認証を導入」という対策で注目を集めているのが、インターナショナルシステムリサーチ(ISR)の「CloudGate UNO」。
この CloudGate UNO は、生体認証を用いたパスワードレスでセキュリティレベルの高い多要素認証を実現する、柔軟なアクセス制限と強固な認証で安全性と利便性を両立させたアイデンティティ管理プラットフォーム。
ゼロトラストモデルのシングルサインオン(SSO)機能を採用し、連携するクラウドサービスごとにセキュリティポリシーを設定することで柔軟なアクセス制限を実現し、ゼロトラストに対応したシングルサインオンで企業の大切な情報資産をサイバー攻撃の脅威から守ってくれる。
シングルサインオン(SSO)は、1度システム利用開始のユーザー認証 (ログイン) を行うと、複数のシステムを利用開始するさいに、そのつど認証する必要がないサインオンスタイル。1度の認証で、以後その認証に紐づけられている複数のシステムやアプリ・サービスにも、追加の認証なしで利用できる製品・システム・ツールのこと。
また、FIDO2を利用したパスワードレス認証やスマートフォンアプリによる生体認証などのゼロトラストMFAでセキュリティを高められる。
運用稼働率は9年連続99.99%以上、アイデンティティ管理プラットフォームとして重要となるサービスが止まることがない、安定した稼働で1600社・80万ユーザーから支持を得ている。
クライアント証明書で安全にクラウドサービスへログイン
CloudGate UNO のクライアント証明書「secured by Cybertrust」は、証明書がインストールされた端末のみアクセスを許可することで、アクセスできる端末を制限。
たとえば、CloudGate UNO の「Smart Pack」は、パスワードレス認証/セキュリティ通知/AD連携/認証・操作ログなどの全機能を搭載。180以上のクラウドサービスとSSO連携できるのも特徴。
また、クライアント証明書は、1ユーザーに2枚ついているから、でPCとスマホの両方に使える点もうれしい。
さらにスマホ1台で、認証とセキュリティ通知機能を搭載した CloudGate UNO 専用アプリ「Pocket CloudGate」(ポケットクラウドゲート)は、このアプリひとつで認証からセキュリティ対策まで網羅し、場所を選ばず企業のセキュリティレベルを高めてくれるという。
◆CloudGate UNO
https://www.cloudgate.jp/
解説してくれたインターナショナルシステムリサーチ メンデス・ラウル 代表取締役社長