by Thi Nguyen-Huu
2023年9月初旬、世界最大級のカジノホテル企業であるMGMリゾーツとシーザーズの2社がランサムウェア攻撃に襲われました。その翌週、シーザーズは「外部委託しているITサポートベンダーに対するソーシャル・エンジニアリング攻撃」の被害に遭ったと発表しました。ハッカーが同社の弱点を突いたインシデントであり、セキュリティ対策の抜本的な見直しや改善の緊急性が強調されたインシデントになりました。
フォールバックの脆弱性
ハッカーは、機密データにアクセスするために、Oktaユーザのフォールバック手法である、ユーザがパスワードを忘れたり、多要素認証(MFA)でログインできなくなった場合のアカウントリセット等の回復プロセスを悪用しました。
これらの攻撃を受けてハッカーがユーザアカウントのMFA設定をリセットするようIT部門を説得するソーシャル・エンジニアリングの新しいパターンに対して警戒するよう、ユーザに警告しました。また、シーザーズはIT担当者が管理者アカウントのMFAをリセットまたはリダイレクトするようハッカーに操られたため、データが漏洩したことを認めました。このケースでは、フォールバック手法が会社のセキュリティの弱点となってしまいました。
サイバーセキュリティ企業は、セキュリティの問題、特にフォールバック・プロセスに関する問題に取り組んできました。もはや従来のソリューションにパッチを当て、使い続けるのではなく、最新の技術に基づいたより安全なセキュリティ対策に移行する時なのです。
独立した2つのエンドポイント
サイバーセキュリティの世界では、アカウントを携帯電話に紐付けるという過ちを犯しています。まず携帯電話で本人確認をしなければ、どのコンピュータでもオンラインアプリケーションやサービスにアクセスできないのです。この共依存関係こそが、フォールバック・プロセスの弱点なのです。
より良い解決策は、コンピュータと携帯電話という2つの独立したエンドポイントを持つことです。エンドポイントが独立して動作することで、各デバイスは他のデバイスなしで安全なユーザ認証を提供することができます。コンピュータは携帯電話なしでオンラインアプリケーションやサービスにアクセスでき、携帯電話は第二のデバイスなしでこれらのサービスにアクセスできます。
攻撃者がフィッシングする対象が無い認証環境
エンドポイントはそのエンドポイントを使っているユーザを直接確認することができます。エンドポイントをプライマリ認証デバイスとして利用することで、ユーザによる認証行為を一切必要としないオンライン認証のエクスペリエンスを実現できます。
サービス・プロバイダがユーザだけでなく、エンドポイントデバイスとユーザの両方を認証すれば、ユーザはプッシュ通知を受け入れるなど、携帯電話などの第二のデバイスで余計な認証ステップを踏む必要がなくなります。この仕組みでは、ユーザはオンラインアプリケーションやサービスに対して認証するのではなく、まずユーザがエンドポイントデバイスに対して認証し、次にエンドポイントデバイスがユーザの代わりにオンラインアプリケーションやサービスに対して認証します。したがって、ユーザがオンライン認証行為を行わないため、攻撃者のフィッシング対象となり得る要素がありません。
また、ユーザ認証のステップが複雑であればあるほど、ユーザが間違いを犯す可能性は高くなります。認証ステップを無くすことで、ユーザはサイバー犯罪者に悪用されるようなミスを犯すことはありません。この考え方は、シーザーズやMGMで発生した攻撃と似ていますが、シーザーズやMGMのケースでは、ユーザではなくヘルプデスクの従業員が騙されたという点が異なります。認証プロセスを簡素化することで、セキュリティ構造全体が恩恵を受けることができます。
フォールバック率を下げる
コンピュータにオンライン認証を実行させ、ユーザの認証行為が不要なエクスペリエンスを作り出すことで、フォールバック手法が必要になるというリスクを大幅に減らすことができます。シーザーズとMGMの攻撃では、ハッカーは正当なユーザになりすまし、MFAに欠陥があるように装い、リセットを要求しました。オンライン認証からMFAステップを無くすことで、ハッカーが悪用したこの弱点が取り除くことができます。
より強力なフォールバック・プロセス
オンライン・サービスにアクセスするエンドポイントは、第二のデバイスから独立して動作できなければならなりません。例えば、携帯電話でワンタイムパスワードを入力しなくても、コンピュータからDropboxアカウントにアクセスできるようにします。
何らかの理由でメインの認証が機能しない場合、携帯電話を予備の認証要素として使用することができます。この場合、フォールバック手法は携帯電話であり、これはほとんどの認証プロバイダが主要な手法として使っているものです。オンライン認証をエンドポイントコンピュータに任せることは非常に強力で安全であるため、携帯電話は第二の防衛線となります。
次世代の認証
シーザーズとMGMが受けた攻撃は、業界関係者がすでに気付いていた懸念を改めて証明しました。ユーザ認証はフィッシングに強くなければならず、現在主流のフォールバック手法はサイバー攻撃に対して脆弱であるということです。企業は今、ログインからフォールバック・プロセスまで、セキュリティ・システム全体を見直そうとしています。
肝心なことは、エンドポイントはもう一方を必要とすることなく独立して動作できる必要があるということです。コンピュータは携帯電話なしでオンラインアプリやサービスにアクセスでき、逆もまた同様であるべきです。これらのエンドポイントの1つは、ユーザを確認するための第二のデバイスとして機能し、他のフォールバック手法よりも安全なリセットまたはリカバリー・プロセスを提供することができます。
これまでの”ある程度通用するからこれで十分”から、バックドアが存在しない、より良い選択肢に移行する時です。ウィンマジックのMagicEndpointパスワードレス・ソリューションは、ハッカーからの攻撃の対象となり得る認証情報やフォールバック手法を使用しない非常にセキュアなオンライン認証方式を採用しています。そしてユーザのオンライン認証行為が一切不要の認証を実現します。エンドポイントにオンライン認証を任せることで、IT部門はパスワードのリセットやMFAの問題対応をする必要がなくなり、更にフォールバック・プロセスをハッカーに悪用されないようにすることができます。
テクノロジーはすぐそこにあります。
どのようなテクノロジーなのか確かめてみませんか?デモをご希望の場合はこちらから営業担当者へお問い合わせください。