愛知県がんセンター医師のOffice365アカウントへ不正アクセス、個人情報含むメールが漏えい
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」9月20日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・アカウント乗っ取り対策に効果「多要素認証」
・メールでパスワードを別送する手法「PPAP」のリスクとは?
今回の解説ニュース
クラウドサービスのアカウントが乗っ取られ、メールの送受信履歴から個人情報が漏洩した可能性があるということです。クラウドサービスを利用する際に、アカウントが乗っ取られないための対策について説明します。
今回のインシデントは、利用者がメールの不調に気が付いたことをきっかけに調査が行われ、海外からの不正アクセスが判明したということです。直ちにアカウントのパスワードを変更後、アカウントの停止が行われました。その後、詳細な調査を実施したところ、海外からの不正アクセスが約1か月半にわたって行われており、メールの送受信履歴からパスワードロックがかかっていない延べ183名の患者を含む個人情報が漏洩した可能性があると発表されています。
対策として、クラウドサービスのログインに多要素認証を導入し、ファイアウォールの設定を強化したということです。
アカウント乗っ取り対策に効果「多要素認証」
IDとパスワードが知られてもアカウントを乗っ取られない対策として、多要素認証の導入が挙げられます。今回のインシデントでも対策として実施されていますので、その内容と、多要素認証を導入した上でも気を付けるべきポイントについて説明します。
多要素認証とは、アクセス権限を得るために必要な要素を複数要求する認証方式です。最もよく使われるIDやパスワードなどの「知る要素」スマートフォンやICカードなどの「持つ要素」指紋や静脈などの「備える要素」を複数組み合わせて認証の強度を上げます。今回のインシデントでは「ウイルス等の不正プログラム及びフィッシングサイトへのアクセス記録は見つからず」とされていますので、それ以外の何らかの方法でIDとパスワードが攻撃者に知られてしまったことが考えられます。多要素認証が導入されていれば、IDとパスワードが盗まれたとしても、それだけでは攻撃者にアカウントが乗っ取られることはありません。
しかし、逆を言えば、多要素認証で使われている他の要素を盗まれてしまうと、アカウントが攻撃者に乗っ取られてしまいます。具体的には、多要素認証に使っているスマートフォンの操作が不正アプリによって盗聴されたり、生体認証で使っている指紋情報がそのまま複製されたりすることで、認証を突破されてしまう可能性があります。
特に気を付けなければいけないのが、すべての要素を入力させるフィッシングサイトです。スマートフォンの盗聴や指紋情報の複製には複数の条件が必要となりますが、フィッシングサイトの場合は1つの条件で攻撃が成立してしまいます。実際に被害が発生していていますので、多要素認証を設定しているからと言って安易に認証情報を入力することは避けましょう。
その他のトピックはこちら
メールでパスワードを別送する手法「PPAP」のリスクとは?
パスワード付きzipファイルと、そのパスワードを別送する、いわゆる「PPAP」と呼ばれる手法のセキュリティリスクについて説明します。(全文はこちら)