近年、Webサービスなどの利用時に推奨されることが増えている「多要素認証(MFA)」。サイバー攻撃の手法が高度化・多様化し、従来のID・パスワードによる認証のみで十分な安全を確保するのが困難になる中、セキュリティを強化するために欠かせない認証方式です。
しかし、多要素認証とは具体的に何をどのように使って認証するものなのでしょうか?また、パスワード認証のみの運用にはどんな危険があるのでしょうか?本記事では、多要素認証の概要や多段階認証との違いなどについて解説した上で、パスワード認証をめぐるリスクについて事例を踏まえて検討し、多要素認証の重要性と利点を紹介します。さらに、多要素認証の種類や課題についても説明するので、これから導入をお考えの方々の参考になれば幸いです。
- 多要素認証と二要素認証(2FA)の違い
- 多要素認証と多段階認証の違い
- パスワード認証をめぐるリスクや脅威
- 認証情報の窃取(フィッシング、スティーラーなど)
- ブルートフォース攻撃(総当たり攻撃)
- リスト型攻撃
- SMSコード
- 認証アプリ
- 生体情報
- ハードウェアトークン
- セキュリティキー
- FIDO認証
最後に
多要素認証(MFA)とは?概要をわかりやすく
多要素認証とは、IT機器やWebサービスの利用時の認証に、以下の3要素のうち2つ以上を用いる認証方法のことを言います。例えば従来のようなパスワードによる認証は、要素①に該当します。なお、英語では「Multi-Factor Authentication」と呼ばれるため、各単語の頭文字を取った「MFA」という略称が使われることもあります。
- 【要素①】知識情報(記憶情報):暗証番号(PIN)やパスワード、パスフレーズ、秘密の質問、iPhoneのパスコード、Androidスマホのパターン認証など、ユーザーが「知っている」情報
- 【要素②】所持情報:ICカード、ハードウェアトークン、認証アプリ、SMS、Eメールなど、ユーザーが「所持している」情報
- 【要素③】生体情報:指紋、顔、静脈、虹彩など、「ユーザー自身」の情報
多要素認証と二要素認証(2FA)の違い
多要素認証とよく似た用語に、「二要素認証(2–Factor Authentication / 2FA)」というものがあります。二要素認証はその名の通り、先ほどの3要素のうち、2つの要素だけを用いて認証するものを指します。これに対して多要素認証は、「2つ以上の要素」が使われているものを意味し、要素の数は問いません。
多要素認証と多段階認証/二段階認証の違い
認証のプロセスを二回以上の段階に分けて行う方法である「多段階認証」や「二段階認証」も多要素認証と混同されがちな認証方法ですが、認証を構成する要素の数や種類は無関係であるという点が多要素認証とは異なります。
<多段階認証ではあるが、多要素認証ではない認証の例>
以下の例では二段階に分けて認証が行われますが、使われる要素は①の知識情報だけなので、多要素認証ではありません。
この例の場合、パスワード認証しか設定しない場合よりは安全性を高められますが、二段階目の知識情報も、パスワード同様に窃取される危険性があります。したがって、別の要素を組み合わせる多要素認証と比べると安全性が劣ると言えます。
<多段階認証であり、多要素認証でもある認証の例>
以下の例では、認証が二段階に分けて行われていて、かつ異なる要素が組み合わせて使用されているため、多段階認証であり多要素認証でもあると言えます。
多要素認証の重要性と利点
IT機器やWebサービスなどを守る防御層がパスワード認証のみだと、何らかの理由でパスワードが流出したり盗まれるなどして攻撃者の手に渡った場合、こうした機器やサービスへの侵入を防ぐことは困難です。
一方で、パスワード認証に加えて別要素による認証も設定すれば、さらなる防御層が追加されることになり、たとえパスワードを破られたとしても攻撃者の侵入を阻止できる可能性が高まります。
また、攻撃者は、パスワードを推測したり、想定し得るIDとパスワードのあらゆる組み合わせを力業で試す「ブルートフォース攻撃(総当たり攻撃)、リスト型攻撃」(詳しくは後述)を仕掛けたりといった手段でパスワード認証を破る場合があります。このため、パスワードが流出していなかったとしても、多要素認証を設定していない場合は依然として侵入の危険性が残ると言えます。
パスワードをめぐるリスクや脅威
前述のブルートフォース攻撃に加え、攻撃者は認証情報の窃取やリスト型攻撃といった手口を使ってパスワード認証をすり抜けようとする場合があります。この試みを成功させた攻撃者は、重要な情報の窃取やランサムウェア(※)の投下、SNSアカウントの乗っ取りといった有害な行為に及ぶ恐れがあります。
(※)実際に、「Akira」というランサムウェアグループがターゲット組織へ侵入するために使用する手口の1つに、「多要素認証(MFA)の設定されていないVPN製品にブルートフォース攻撃を仕掛ける」というものがあることがわかっています。詳しくは以下の記事をご覧ください:Cisco ASAのゼロデイをAkiraランサムウェアが攻撃で悪用:CVE-2023-20269
認証情報の窃取(フィッシング、スティーラーなど)
攻撃者は、フィッシングサイト等にターゲットを誘導して認証情報を入力させる、スティーラー(情報窃取型マルウェア)を利用する、などの手段でパスワードやIDといった認証情報を盗み出すことがあります。認証情報が盗まれ、かつ多要素認証が未設定の場合、システムに侵入した攻撃者によってさまざまな不正行為が実施されるリスクが生じます。
<被害事例>
実際に盗まれた認証情報を使ってランサムウェア攻撃を受けてしまったのが、米国のとある医療系プラットフォームです。攻撃の起点となったのは被害企業が利用していたリモートアクセスサービス「Citrix」でしたが、同サービスへのログインには、この攻撃以前に何らかの原因で盗まれていた従業員の認証情報が使われていました。さらに、同社のCitrixポータルサイトには多要素認証が設定されていなかったことも明かされています。このインシデント事例について、詳しくは以下の記事もご覧ください:Change Healthcareへの不正アクセス、MFA未設定の盗難Citrixアカウントが使われていた
ブルートフォース攻撃(総当たり攻撃)
ブルートフォース攻撃とは、想定し得るすべてのパスワードでログインを試みて、認証を突破しようとする手法のことです。このログイン試行は、プログラムなどを用いて自動で行われます。手当たり次第にあらゆるパターンを試すものであるため、「総当たり攻撃」と呼ばれることもあります。
<被害事例>
今年1月、あるサイバーセキュリティ企業のX(旧Twitter)アカウントが第三者に乗っ取られるというインシデントが発生しました。この結果、暗号資産を盗み取ることを目的としたフィッシングページへのリンクが、同アカウントによって投稿されました。その後この被害企業は、乗っ取りはブルートフォース攻撃によって達成された可能性が高い、との調査結果を報告しています。この事例について、詳しくは以下の記事をご覧ください:Mandiant、自社Xアカウント乗っ取りの調査結果を報告
リスト型攻撃(クレデンシャルスタッフィング攻撃)
リスト型攻撃とは、何らかの手段により不正に入手した他者のID・パスワードをリストのように用いてさまざまなサイトへのログインを試みる手法のことです。「クレデンシャルスタッフィング攻撃」と呼ばれることもあります。この手法では、Webサービス等から流出した名簿や、ダークウェブ(※)などで販売されるIDとパスワードのリストなどが利用されます。
<被害事例>
今年3月、米国のある人気ストリーミングサービスは、リスト型攻撃によって15,000件ほどのユーザーアカウントが乗っ取られたと報告しました。また翌月には、第二のリスト型攻撃が行われていたことについても公表し、およそ576,000件のアカウントが侵害された旨を明かしました。いずれの攻撃においても、同社とは無関係のサービスや企業から流出したパスワードとユーザー名のリストが使われたものとみられています。その後同社は、攻撃被害を受けなかったユーザーも含め、すべてのユーザーアカウントで強制的に二要素認証(2FA)を有効化しました。
※ダークウェブとは何か、またダークウェブでどんなことが行われているか等については、こちらの記事をご覧ください:ダークウェブとは?何が行われている?仕組みから最新動向まで
多要素認証の種類
ここまでで、パスワード認証しか設定されていない場合のリスクや多要素認証の重要性についてはご理解いただけたかと思います。しかし、一口に多要素認証といってもその種類はさまざまです。ここでは、中でも代表的な5種類を紹介します。
一般的な多要素認証では、ID / パスワードでの認証と、以下5つのうちいずれかによる認証とが組み合わされる場合が多いです。
- SMSコード
- 認証アプリ
- 生体情報
- ハードウェアトークン
- セキュリティキー
SMSコード(SMS認証)
事前に登録してある電話番号宛にショートメッセージ(SMS)で認証コードを送り、ユーザーが送信されたコードを正しく入力した場合にのみログインを許可するというものです。この認証コードは一定の時間が経つと無効になる一回限りのものなので、「ワンタイムパスワード(One Time Password / OTP)」とも呼ばれます。
SMS以外に、Eメールや音声通話で認証コードを送る場合もあります。多要素認証の手段として広く使われているオプションではありますが、以下に挙げるような理由からその他の認証方法よりも安全性が低いとされています。
<SMS認証やEメール認証の安全性が劣る理由>
- SMSで受信する認証コードは、「SMSインターセプト」という手法によって傍受される恐れがあるため。SMSインターセプトの主な手口は、悪意あるアプリをスマートフォン所持者にインストールさせ、SMSへのアクセス権限を付与させることにより、アプリを介してSMSの内容を傍受するというもの。
- スマートフォンの本来の所有者になりすまして不正にSIMカードを発行し、そのSIMカードの番号でSMSコードを受信して認証を突破する「SIMスワップ詐欺(SIMハイジャック)」と呼ばれる手法が存在するため。
- Eメールも、中間者攻撃(二者間の通信に第三者が不正に介入し、通信の盗聴や改ざんなどを行う攻撃)などによって経路上で奪取される可能性があるため。
認証アプリ(Authenticator)
スマートフォンやPC、タブレットなどのデバイスに認証アプリ(Authenticator)と呼ばれるアプリケーションをインストールし、このアプリ上で生成される認証コード(OTP)を使って認証を行うという方法です。代表的なものとしては、Google AuthenticatorやMicrosoft Authenticator、Authy Authenticatorといったものが挙げられます。また、銀行などでは独自の認証アプリを用意していることもあります。
生体情報(バイオメトリクス情報)
指紋、虹彩、静脈、顔の形など、本人の生体の一部分に関する情報(=生体情報、またはバイオメトリクス情報)を用いて認証するという方法です。私たちが日常的に行っている、顔認証や指紋認証などによるスマートフォンのロック解除も、生体認証の一例です。
ハードウェアトークン
ハードウェアトークンとは、ワンタイムパスワードを生成するための小型の物理デバイスです。カードタイプのものからキーホルダー型のもの、電卓のような見た目のものまで形状はさまざまですが、いずれもワンタイムパスワードを表示するための小さな画面を備えています。
<ハードウェアトークンのイメージ(キーホルダー型)>
セキュリティキー
セキュリティキーとは、認証に用いる小型の物理デバイスのことを言います。ただ、ハードウェアトークンとは違い、ワンタイムパスワードを表示するための画面は付いていません。家や建物を物理的な鍵で施錠・開錠するのと同様のイメージで、このセキュリティキーを手元に持っているユーザーにしか、システムやサービスへのアクセスを許可しないという認証方式です。USBポートに差し込んで使うものが一般的ですが、PCなどの側に置いてワイヤレスで通信できるものもあります。
<セキュリティキーのイメージ>
多要素認証の導入が特に重要なアカウントやサービスの例
多要素認証は、利用しているすべてのアカウントやWebサービスに設定するのが理想的です。それが難しい場合でも、以下に挙げるアカウントやサービスにはできる限り多要素認証を導入することをお勧めします。
- Eメールアカウント(ハッカーに知られると、他のアカウントのパスワードリセットにまで悪用される恐れがあります)
- 社内システム
- オンラインバンキングなどの金融サービスのアカウント
- 支払い情報が保存されているアカウント(Eコマースサイト、PayPalなど)
- ソーシャルメディアアカウント
- e-Govなど、個人情報が保存されているアカウント
多要素認証の課題
パスワード認証を単体で使用するよりも安全性は高まるとはいえ、多要素認証にも課題はあります。先ほども触れたSIMスワップ詐欺や中間者攻撃といった手段でワンタイムパスワードが盗み取られる可能性があるほか、最近では、偽の認証画面を表示してユーザーを騙し、認証コードを入力させて奪うというフィッシング手法(※)も確認されています。
※実際にこの手法を利用したフィッシングツール「Tycoon 2FA」が、ハッカーなどの間で出回っています。詳しくはこちらの記事をご覧ください:GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
パスワードや認証コードなどの機微な認証情報をインターネット上でやり取りする以上、第三者から不正なアクセスを受ける可能性を完全に排除することはできません。そこで、新たな多要素認証の形として近年注目されているのがFIDO認証です。
FIDO認証
FIDO(Fast Identity Online:ファイド)は、パスワードを利用しない認証の形を目指した認証技術です。FIDO認証では、利用者が「本人」であるという認証をPCやスマートフォンなどそれぞれの端末上で行い、利用するWebサービスへは「本人だと認証しました」という情報のみを伝達します。詳しくは、以下の図に示すような形で認証が行われます。
<FIDO認証のイメージ>
最後に
多要素認証には、導入・運用にコストがかかる、ログイン利用時の手間が増える、などのデメリットもあります。しかし、IDやパスワードの流出・盗難が身近なものとなっていることや、パスワード認証を突破するブルートフォースなどの攻撃手法が存在することなどを踏まえると、やはりできる限りあらゆるシステムやWebサービスに多要素認証を設定することが理想的です。特に、先ほど挙げたようなEメールアカウントや金融サービスのアカウントなどには、優先的に導入することをお勧めします。
株式会社マキナレコードでは、多要素認証の導入に関するアドバイスも含め、情報セキュリティ関連のお悩みや疑問にお答えする「セキュリティ顧問」のサービスを提供しております。また、ISMS認証などの取得支援やゼロからのセキュリティ体制構築支援なども行っていますので、ご興味のある方は弊社のホームページをご覧いただくか、以下のボタンよりお気軽に資料をご請求ください。
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。