無効化期限迫るBasic認証、その仕組みとリスク
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」9月21日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・「Basic認証」とはどのように使われてきたものなのか
・Basic認証はなぜ無効化の動きなのか?使い続けるリスクについて
今回の解説ニュース
マイクロソフト製品で使われているBasic認証の無効化期限が3か月延長されたということです。マイクロソフトからは12月末までに別の認証へ移行するよう求められています。Basic認証の仕組みや、Basic認証が抱えるセキュリティリスクについて説明します。
今回、マイクロソフトは、Exchange Online でまだBasic認証が無効化されていないプロトコルについて、10月1日から無効化を開始するとユーザーに伝えています。すでに何百万人ものユーザーがBasic認証から移行している一方で、多くのユーザーがまだBasic認証を使用し続けているということです。なお、マイクロソフトは、3年前に自社ソフトウェア製品について、Basic認証から、より近代的で安全なユーザー認証方法への移行を開始することを発表しています。
マイクロソフトはブログの投稿で、「メールは多くのお客様にとってミッションクリティカルなサービスであり、その多くのお客様に対して Basic 認証をオフにすることは潜在的に大きな影響を与える可能性があると理解している」ため、3か月の再有効化を追加して計画を修正したとも書いています。また、この変更について知らない、あるいは準備ができていない顧客のために、計画を修正しているとも述べています。なお、2023年1月の第1週目には、Basic認証はすべてのプロトコルで、永久にオフになるということです。
「Basic認証」とはどのように使われてきたものなのか
Basic認証とは、主にWebサーバで使われている認証方法の一つです。Webサーバに実装するのが簡単であることや、多くのWebサーバやブラウザで対応していることから広く使われている一方で、認証情報を盗聴されやすいというセキュリティ上の問題点を抱えています。
例えば、Aさんがホームページを作成していたとします。特別な設定をしていない場合、各ページのURLが分かれば、すべての人が見ることができます。そのため、開発中だったり、何らかの理由で一時的に非公開にしたかったりする際に、Basic認証が使われることが多いようです。また、Basic認証が使われる理由として、実装の容易さが挙げられます。
認証と呼ばれる機能をWebアプリケーションで実装する場合、ソースコードを編集して開発をする必要があります。Webアプリケーションを開発をするということは、脆弱性が作りこまれないように、セキュリティにも気を付ける必要があります。よって、今すぐ認証をかけたいと思った際に、対応できない場合があります。
Basic認証はWebサーバの機能として提供されていますので、AさんはWebアプリケーションを開発をする必要がありません。Webサーバに脆弱性が存在するバージョンのソフトウェアを使っていなければ、Aさんは認証情報が書かれた「.htaccess」というファイル名のテキストを制限をかけたいディレクトリに置くだけで、特定のURLにBasic認証をかけることができます。
その他のトピック