見出し画像

第10話 不正アクセス情報漏洩の盲点

吉田 晋 情報処理安全確保支援士(登録025036号)

ここでは企業システムへの不正アクセスについて述べる。
企業のセキュリティインシデントの調査[*01]によると、Webサイトへの不正アクセスを経験した企業は11.7%とである。

FTAではサーバへの不正アクセスを防ぐ対策は
・サーバの要塞化
・不正ログイン防止
2点どちらも必要となる。

【盲点1】 ネットワーク機器のセキュリティパッチ

サーバの要塞化で盲点となるのが、サーバ本体だけではなく、関連するネットワーク機器のアップデートである。
2020年に発生したVPNルータの脆弱性をついたサイバー攻撃は記憶に新しい。
特に日本企業は、ネットワーク機器の脆弱性対策についての意識が低い傾向にあるという指摘もある。(セキュリティパッチ公開後1週間後でも9割以上の企業が未適用。[*02])

画像1

業務サーバだけでなく、外部ネットワークや接続端末との境界にある、ネットワーク機器の要塞化(セキュリティパッチの最新化など)も重要であることを忘れてはいけない。

不正ログインの手口は2つ

悪意のある外部ハッカーが不正ログインをする時のパスワードと突破の仕方は次の手口が一般的である。

・総当り攻撃(ブルートフォースアタック)
・ネット上で入手できるパスワード情報

パスワードは複雑性より文字長が重要

総当り攻撃(グルーとフォースアタック)の対策は次の対策が一般的である。
・パスワード長を長くする。
・認証失敗時のアカウントロック
・多要素認証を導入する。

2012年のIPA発行ガイドラインでは「大文字小文字数字記号の組み合わせで8文字以上」となっているが、コンピュータや解析ロジックの進化によりこの基準ではすでに安心できないと言われている。
2020年のFBIの勧告では「大文字小文字記号を混ぜる複雑性より15文字以上の長さが重要」とされている。[*03]

パスワード長と同様に「一定回数ログインの失敗でアカウントロック」もまた「総当たり攻撃」に有効であろう。
総当り攻撃でも最初の数回のトライで正解パスワードに辿り着くのはほぼ不可能だからだ。

またIDとパスワード以外以外の認証要素を導入する多要素認証(端末ID認証、ワンタイムパスワード認証、クライアント証明書認証など)も非常に効果が高い。
総当たり攻撃で、万が一パスワードが見破られたとしても、それだけではログインすることが出来ないからだ。

使いまわしパスワード。すでに漏洩しているかも

100億件以上のIDやパスワードなどの個人の認証情報がインターネットの闇市場で売買されていると言われる。[*04]
もし社員が業務システムに対してもパスワードの使いまわしをしていた場合は、そのパスワードは闇市場で売買されている可能性がある。

このように入手されるリスト型の成功率は0.2~2%と言われている。[*05]
もし成功率が1%とすると、社員100名のうち1名のパスワードが破られるという計算となる。リスト型攻撃は我々が思う以上にリスクが高い。

これを防ぐには、社員にはパスワードの使いまわしをさせないように運用ルールで徹底することも考えられるが、一番確実なのはこちらも多要素認証であろう。

万が一パスワードが使いまわしでかつ闇市場で取引されていたとしても、それだけではログイン出来ないからだ。

【盲点2】 効果的な多要素認証の導入。実は2割だけ

不正ログイン対策に関しては、その手口が「総当たり攻撃」または「ネット上で入手」であったとしても、多要素認証は非常に有効な手段である。

しかし多要素認証を導入している企業は2割だけという調査[*06]もあり、認証強度が、多くの企業システムの脆弱性ポイントとなっていると考えられる。

まとめ
・ネットワーク機器のセキュリティパッチは常に最新に。
・不正ログイン対策で効果的なのは多要素認証の導入。

【2021年版】ゼロトラストFTAガイドブック(無料)はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願います。

参考文献
*01 ⼀般財団法⼈⽇本情報経済社会推進協会(JPDEC)発行「企業IT利活⽤動向調査2020」
https://www.jipdec.or.jp/archives/publications/J0005162.pdf

*02 JSOC「VPN機器を狙ったサイバー攻撃が継続中!セキュリティ事故を防ぐ3つのポイントとは」
https://www.lac.co.jp/lacwatch/report/20200908_002277.html

*03 ITmedia「パスワードは複雑さより長さが大切」 FBIが指南」
https://www.itmedia.co.jp/news/articles/2003/02/news061.html

*04 「Have I Been Pwned」
https://haveibeenpwned.com/

*05 マイナビニュース「あなたの会社のログイン成功率は何%? ログイン成功率から読み解く、リスト型攻撃の脅威」
https://news.mynavi.jp/kikaku/ShapeSecurity-2/

*05 日経XTECH「「2要素認証」導入はたったの2割、Webサービスのあまりに無防備な実態」
https://xtech.nikkei.com/atcl/nxt/column/18/00001/02573/

この記事が気に入ったらサポートをしてみませんか?