ここ数年、サイバー犯罪の舞台裏では、膨大な量の個人情報が流出するデータ漏えい事件が急増しています。このようなデータがオンラインで入手できることで、脅威の主体は、フィッシング・キャンペーンから個人情報の窃盗まで、幅広い攻撃を行うことができます。
現在、最も一般的な認証形態は、ログイン認証(ユーザー名とパスワード)に基づいていますが、脆弱なパスワードの採用や、異なるWebサービス間でパスワードを再利用する悪習慣により、ユーザーは複数の攻撃にさらされています。
ただし、セキュリティを高めるためには、ご本人であることを証明するために複数の認証要素を必要とする認証プロセスを使用する必要があります。
多要素認証とは何ですか?
多要素認証方式では、以下の要素を使用することが可能です。
- セキュリティトークンやスマートカードのように、あなたが持っているもの。
- パスワードやPINコードのように、あなたが知っているもの。
- あなたが持っているもの、例えば、あなたのバイオメトリック特性など。
多要素認証(2FA)とは、上記の2つの要素を組み合わせた認証方式です。2FAの例としては、ATMでの認証の際に、暗証番号(知っているもの)と支払いカード(持っているもの)の提示を求められることが挙げられます。
幸いなことに、一般的なオンラインサービスではすでに2FA認証が実装されていますが、ユーザーはそれを有効にする必要があります。
2FAを採用することで、上記の要因の1つが侵害された場合でも、リソースを保護することができます。パスワードを所持している攻撃者は、支払いカードなどの第2の要素を提供できなければ、アカウントにアクセスできません。
2FAの種類
ここで重要なのは、2FAの方法の中には、他の方法よりも安全性が高いものがあるということです。
例えば、SMSメッセージとパスワードに基づく2FA認証は、携帯電話上で動作する認証アプリで生成されたコードとパスワードを使用するスキームよりも安全性が低いと考えられています。
SMS メッセージは、被害者のデバイスにインストールされたマルウェアによって簡単に傍受されたり、被害者に対して SIM スワップ攻撃を行うことができる攻撃者によって入手されたりする可能性があります。2FA のタイプの選択は、効率性、使いやすさ、コストなど、複数の要素に影響されます。
Duo Security社が行った調査によると、政府機関の19%が、管理しているデータの機密性が高いことから、ハードウェア認証トークンを使用しているという。
2FAの代替案として、ユーザーのモバイル機器を利用する方法があります。このオプションは、ソリューション全体のコストを大幅に削減します。例えば、Google社によると、同社の認証機能を使用することで、自動化された攻撃から最大100%アカウントを保護することができます。
また、ユーザーに電話をかけて認証コードを伝えるソリューションもあります。このような理由から、この認証は音声ベースの2FAと呼ばれています。このソリューションは、クライアントがモバイルアプリケーションに対応していない古い電話機を使用している場合に提案されます。残念ながら、音声ベースの2FAで実現されるセキュリティレベルは非常に低い。
オンラインでは、バイオメトリック2FAやプッシュ通知を利用した2FAなど、他の2FA認証形式も利用できます。前者は、ユーザーの身体的な特徴を認証要素として使用するものです。指紋、静脈や網膜のパターン、顔認識などがある。後者は、ユーザーがシステムにアクセスしようとしたときに送られるプッシュ通知を利用します。この場合、ユーザーはモバイルデバイスから操作を承認する必要があります。
2FAの使用に関する悲しい統計
Duo Security社の研究者によると、2019年に最も一般的だった認証方法はモバイルプッシュ通知で、利用率は68%に達した。
残念ながら、民間企業内での多要素認証の利用率はまだ低く、LastPass社が行った調査によると、2019年の米国では多要素認証を利用している企業はわずか26%でした。民間企業はサイバー攻撃にさらされやすいため、このデータは不愉快なものです。
このような状況は、Twitter社の透明性報告書でも確認されています。
ソーシャルネットワークプラットフォームは、2020年下半期に、少なくとも1つの2FAメソッドを有効にしていたアクティブなTwitterアカウントは、わずか2.3%であったことを明らかにしました。良いニュースとしては、2020年7月から12月の間に、少なくとも1つの2FA方式を有効にしていたユーザー数が9.1%増加したことを観測したことです。
「一般的に、SMSベースの2FAは、SIMハイジャックやフィッシング攻撃の影響を受けやすいため、最も安全性が低いと言われています。認証アプリは、SIMハイジャックのリスクを回避することができますが、フィッシング攻撃を受ける可能性があります。セキュリティキーは、フィッシング攻撃に対する防御機能が組み込まれているため、最新かつ最も安全な2FAの形態です」とTwitter社は述べています。
Twitterユーザーの多くは、認証要素としてSMSで送られてくる認証コードを好んでいました。
これは、2FA を有効にしているアカウントの 79% 以上が選択している方法です。セキュリティキーに基づく最も安全な2FA方式を利用しているのは、わずか0.5%です。
「これらの数字は、2FAの普及を促進すると同時に、アカウントが2FAを使用する際の利便性を向上させる必要性があることを示しています。2FAの方法をよりシンプルで使いやすいものにすることで、Twitterでの導入を促進し、セキュリティを高めることができます」とTwitter社は述べています。
そうは言っても、2FA認証を実装しているサービスはすべて有効にすることをお勧めします。また、複数の選択肢がある場合には、ソフトウェアベースの2FA認証を利用することで、高いレベルのセキュリティを確保することができます。