こんなに危険な「今までのエンドポイントセキュリティ」~世界で発生している奇想天外なセキュリティ・ニュース~
企業には膨大な量の情報があり、それらが漏えいした際には致命的なダメージを被ることとなる。しかし現在、その情報にアクセスするための個人認証方法が、極めて危険な状況にあることを本気で理解している企業は予想以上に少ない。そこでCNNに掲載された記事を基に、企業がエンドポイントのセキュリティを確保するために必要な個人認証方法について考えてみた。
計12億人分ものパスワード情報が盗まれる事件も発生
2014年8月には、ロシアの犯罪集団がインターネット上の多数のサイトから、なんと計12億人分ものユーザーネームとパスワードを盗んでいたという驚愕の事件が明るみになった。
ロシアの犯罪集団が、大小問わず計42万件のWebサイトから、計12億人分ものユーザーネームとパスワードを盗んでいたことが明らかになった。当初は闇市場でユーザーのデータを買い集めていたが、2014年にWebサイトの弱点を見つけ出す自動巡回ソフトを導入したことで、膨大なデータの入手につながったようだ。目的はあくまでも多数のユーザーに偽薬などの広告メールを送ることで、重大な被害には及ばなかったのだが、それが逆に長期間表面化しなかった要因と見られている。
確かにこの事件では重大な被害こそ出なかったものの、計12億人分ものユーザーネームとパスワードが盗まれていた事実に変わりはない。「それは一般的なサービスの話で、金融機関などはセキュリティが万全だから問題ない」と思っているのなら大変危険だ。実際に心当たりがあるかもしれないが、"忘れてしまわないように"と複数サービスで同じパスワードを使用するユーザーは決して少なくない。もしセキュリティの甘いWebサイトから盗まれたパスワードが金融機関で使用されたら……考えただけで恐ろしい事態に発展するだろう。
簡単に読み解ける危険なパスワードも
パスワードを盗まれるという事件が発生する以前に、最初からパスワード自体のセキュリティ強度が低いようなケースも大きな問題だ。
セキュリティー企業のスプラッシュ・データがまとめた2013年の最も"危険"なパスワードは、なんと首位が「123456」で、前年は「password」がトップだった。ちなみに25位まで掲載したリストは、盗まれたりインターネット上で出回ったパスワードを参考材料に作成。数字の組み合わせや「qwerty」「admin」といった字句のほか、ハッカーが好むという「iloveyou」「letmein」「trustno1」「password1」などがあった。
パスワードロック機能を使っていないケースも多数
パスワードは最も手軽なセキュリティ手段として知られているが、それすら使われていないという実態もある。
セキュリティー大手の米マカフィーが行った調査によると、スマートフォンユーザーのうち36%がパスワードによるロック機能を使っていないことが判明した。パスワードを使っている人の中でも、そのパスワードを人に教えたことがあると答えた人が55%、日常的に使うアプリやWebサイトのパスワードをスマートフォン内のメモ帳などに保存している人も15%に上るという。
スマートフォンの場合、パスワード認証機能はあるものの、一度認証内容を保存すると次回から再入力が不要になるアプリは多い。確かに利便性は向上するのだが、これでは端末の紛失・盗難が発生した際に本人でなくともアクセスできてしまうため、パスワード認証の意味がなくなってしまう。
誰でも簡単にPC乗っ取りが可能なツールまで登場
さらに近年は、悪意ある第三者の攻撃手法も巧妙なものになっている。たとえば、特定のターゲットを狙う「標的型攻撃」などが代表的な例だ。企業の場合、誰か一人でも被害を受けると、そこからネットワーク経由でマルウェア感染や情報漏えいの被害が拡大してしまう。「PCの乗っ取りってそんな簡単にできるの?」と思う方がいるかもしれないが、実はこんな事件も起きているほど身近なのだ。
米連邦捜査局(FBI)は2014年5月19日までに、世界19ヵ国の警察と協力し、PCの乗っ取りを可能にする悪質ソフトウェア「Blackshades」の開発者や使用者の摘発作戦を実施。90人以上を逮捕した。Blackshadesはわずか40ドル(約4100円)で販売され、PCの知識が乏しい利用者でも簡単にインストールが可能。他人のPCを乗っ取り、相手に気付かれないままカメラの起動や記憶装置へのアクセス、さらにはキーボード操作を読み取りパスワードを盗むこともできる。
Blackshadesの被害者は全世界で約70万人に上ると推定される。米当局は2年前から水面下の捜査を続け、このほど一斉摘発に乗り出した。
こうした状況下において、企業は常に「誰かが被害に遭っている」という前提でセキュリティ対策を進めるべきだといえる。それでは、どのような具体的な対策が考えられるのか。たとえばパスワード認証だけでなく、利用者個人を特定するための生体認証を導入する方法が挙げられるだろう。
今後はより需要が増す静脈認証
生体認証との二重認証であれば、悪意ある第三者が企業ネットワークへ侵入しづらい環境を構築することができる。
顔や音声では認証精度が低く、目の網膜や虹彩を用いる場合は装置の小型化が困難なためまだ現実的とはいえない。そうした中、最も有力な候補が静脈認証といえるだろう。
この静脈認証は、手のひらや指先の静脈パターンで登録・照合を行う認証方法だ。日本国内の生体認証装置としては、指紋認証を抜いて2011年からトップの出荷台数を誇っている。静脈は外部の影響を受けづらいため、登録・照合ができなくなる可能性は極めて低い。ATMでの個人認証に用いられていることからも、その手軽さとセキュリティ強度の優位性が伺えるだろう。
各種サービスのデジタル化・オンライン化が進む現代社会において、パスワードによる個人認証はもはや限界にきている。指紋すらなりすましの危険性が取り沙汰されている中、今後は手軽かつセキュアな個人認証の手段として、静脈認証がより広く普及していくだろう。