\r\n\r\n
最近、どのウェブサイトを訪れても、二要素認証(2FA)の利用を促そうとしているように思います。
2FAの最も一般的な使用方法の1つは、モバイルデバイスから固有のコードを入力することです。一般的には、テキストメッセージでコードを受け取るか、サードパーティの2FAアプリケーションを使用してコードを生成します。
この2つの方法の利便性から、どちらも一般的なコードの使用方法となっています。しかし、この2つの方法は、セキュリティの観点からは弱点でもあります。そして、2FAコードのセキュリティは、それを提供するために使用される技術によってのみ高くなるため、弱点は重要です。
では、SMSやサードパーティーのアプリケーションを使ってコードにアクセスすることの何が問題なのでしょうか?同じように便利で、より安全な代替手段はないのでしょうか?すべて説明します。詳しくはこちらをご覧ください。
ここで、2ファクタ認証の仕組みについて説明します。この後は、この技術を支える仕組みを理解しないと、あまり意味がありません。
広義には、2FAはあなたのアカウントに追加のセキュリティレイヤを追加します。多要素認証とも呼ばれ、ログイン認証にはパスワードだけでなく、アカウントの正当な所有者だけがアクセスできる2つ目の情報が含まれています。
2FAには、さまざまな形態があります。最も基本的なレベルでは、セキュリティのような単純なものになります(あなたの母親の旧姓やお気に入りのペットを知っている人はまずいませんから)。より複雑なものでは、網膜スキャンや指紋などのバイオメトリクスIDもあり得る。
SMSは、2FAコードにアクセスし、使用する最も簡単な方法です。もしサイトが二要素認証ログインを提供しているならば、ほぼ間違いなくSMSをオプションとして提供しているはずです。
しかし、SMSは2FAの安全な利用法ではありません。SMSには2つの重要な脆弱性があります。
まず、この技術はSIMスワッピング攻撃に対して脆弱である。ハッカーがSIMスワップを行うには、それほど時間がかかりません。もし彼らがあなたの国民保険番号など他の個人情報にアクセスできれば、オペレーターに電話をかけて、あなたの番号を新しいSIMカードに交換することができます。
第二に、ハッカーはテキストメッセージを傍受することができます。それは、今や時代遅れとなった電話のルーティングシステム「Signalling System 7(SS7)」にさかのぼる。この方式は1975年に考案されましたが、現在でもほぼ世界中で通話の接続・切断に使用されています。また、デジタル翻訳、プリペイド課金、そして最も重要なショートメッセージも扱えます。
当然のことながら、この1975年の技術にはセキュリティ上の欠陥がある。以下は、セキュリティ専門家であるBruce Schneier氏による欠陥の説明です。
"攻撃者がSS7ポータルにアクセスできれば、あなたの会話***をオンライン録音装置に転送し、意図した宛先に通話を迂回させることができます[...] よく装備された犯罪者は、あなたが見る前にあなたの検証メッセージを掴んで利用できるということです..."
もちろん、サイバー犯罪者があなたのFacebookのアカウントをハッキングしていることを知ることは、理想的なことではありません。しかし、2FAの他の用途を考えると、状況はさらに恐ろしいものになります。サイバー犯罪者は、あなたがオンラインバンキングで使用しているパスワードを盗み、送金を開始・完了することもできます。
また、Schneierは、SS7ネットワークアクセスは誰でも1,000米ドル程度で購入できると主張している。アクセス権を得ると、ルーティングリクエストを送ることができる。この問題を解決するために、ネットワークがリクエストのソースを確認できない場合があります。
2FAを無効にするよりも、SMSによる2ファクタ認証を利用する方が良いことを忘れないでください。被害者になる可能性が低くなります。しかし、少し心配になってきたという方は、ぜひご一読ください。多くの人は、SMSが安全でないことを受け入れ、サードパーティのアプリケーションに頼っています。
しかし、これではあまり良くないかもしれません。
また、2FAコードの利用方法として一般的なのは、専用のスマート**アプリケーションをインストールすることです。googleauthenticatorは最も有名ですが、必ずしもベストではありません。Authy、Authenticator Plus、Duoなど、さまざまな代替手段があります。
しかし、Pro 2FAアプリケーションの安全性はどうかというと、最大の弱点は秘密鍵に依存していることです。
一歩踏み出そう。ご存じないかもしれませんが、多くのアプリケーションに最初に登録する際、キーの入力が必要です。この秘密は、お客様とアプリケーション提供者の間で共有されます。
サイトにアクセスすると、アプリケーションによって作成されたコードは、キーと現在の時刻の組み合わせに基づいています。同時に、サーバーは同じ情報を使ってコードを生成しています。この2つのコードが一致することでアクセスが許可されます。賢明ですね。
なぜキーが弱点なのか?では、もしサイバー犯罪者が企業のパスワードや秘密のデータベースに侵入することに成功したら、どうなるのだろうか。すべてのアカウントが脆弱になり、攻撃者が自由に出入りできるようになります。
次に、秘密は平文かQRコードで表示され、ハッシュ化できないため、SALTで使用することはできません。また、会社のサーバーにプレーンテキストで置いてある場合もあります。
鍵は、専門的なアプリケーションで使用される時間ベースのワンタイムパスワード(TOTP)の基本的な欠陥です。そのため、物理的なU2Fキーは常に、より安全な選択肢となります。
もちろん、サイバー犯罪者がサードパーティ製アプリケーションの必要なデータベースをハッキングする可能性は極めて低い。しかし、アプリケーションの設計に基本的なセキュリティ上の欠陥がある可能性もあります。
2017年12月に人気のパスワードマネージャー「LastPass」がこの被害に遭いました。あるプログラマーがMediumに投稿したブログから、指紋やパスワードなどのセキュリティ対策なしに鍵にアクセスできることが明らかになりました。
解決方法は複雑ではありません。LastPass Authenticatorアプリケーションの設定アクティビティにアクセスすることで(com.lastpass.authenticator authentication program.アクティブな設定アクティビティ)であれば、何のチェックもなく、アプリケーションの設定ペインにアクセスできます。そこから、「戻る」キーを1回クリックするだけで、すべての2FAコードにアクセスできます。
LastPassは現在この欠陥を修正していますが、この問題はまだ続いています。プログラマーによると、彼は7ヶ月前からこの問題をLastPassに伝えようとしているが、同社は問題を解決できていないという。他のサードパーティ製2FAアプリケーションのうち、安全でないものはいくつあるのでしょうか?開発者が知っていながら、修正を遅らせている未修正の脆弱性はどのくらいあるのでしょうか?また、Facebookなどでコードジェネレーターにアクセスできない場合の懸念もあります。
SMSや2FAに頼らず、ユニバーサルセカンドファクターキー(U2F)を使ってコードを書くべきでしょう。これらは、コードを生成し、サービスにアクセスするための最も安全な方法です。
現在のプロトコルを簡略化し、強化した2FAの第2世代版として広く認知されています。さらに、U2Fキーの使用は、SMSやサードパーティーのアプリケーションを開くのとほぼ同じ簡単さです。
U2Fキーは、NFCまたはUSB接続を使用します。デバイスをアカウントに初めて接続する際、「Nonce」と呼ばれる乱数が生成され、サイトのドメイン名とハッシュ化されて一意のコードが作成されます。
その後、U2Fキーをデバイスに接続し、サービスがそれを認識するのを待つことで、U2Fキーを展開することができます。
では、デメリットは何でしょうか?U2Fがオープンスタンダードであるにもかかわらず、U2Fの物理キーを買うにはお金がかかるんです。それ以上に重要なのは、盗難の危険性があるということでしょう。
U2Fキーが盗まれたからといって、自動的にあなたのアカウントが危険にさらされるわけではありません。しかし、公共の場では、泥棒はあなたがパスワードを入力するのを遠くから見てから、あなたの持ち物を盗んでいるかもしれません。
**価格は業者によって大きく異なりますが、15ドルから50ドル程度とお考えください。
理想的には、認証技術間の相互運用性を実現する役割を担うFIDO(Fast IDentity Online)コンソーシアムの「FIDO Certified」モデルを購入したいところです。メンバーには、Google、Microsoft、Bank of America、MasterCardなど、あらゆる企業が名を連ねています。
FIDOデバイスを購入することで、U2Fキーが毎日使うすべてのサービスで使えることを保証します。DIGIPASS SecureClick U2Fキーを購入したい場合は、こちらのキーをご覧ください。
Digipass SecureClick FIDO U2F セキュリティキー AMAZONで今すぐ購入する
このように、「Universal Second Element Key」は、使いやすさと安全性を両立させた、満足度の高いキーといえます。SMSは最も安全性の低い方法ですが、最も便利な方法でもあります。
どんな2FAでも、2FAが全くないよりはましだということを忘れないでください。確かに、一部のアプリケーションにログインするのに10秒余計にかかるかもしれませんが、セキュリティを犠牲にするよりはましでしょう。