Microsoftは現地時間2022年2月3日、サイバー攻撃の増加と多要素認証の利用を推奨する記事を公式ブログで公開した。日本マイクロソフトが抄訳を掲載しているのでご一読をおおすすめしたいが、重要なところを抜粋しよう。
- 過去2年間でサイバー攻撃が急増。
- 2021年中のAzure Active Directory(以下、AAD)が受けたブルートフォースアタック(総当たり攻撃)は256億超。
- 2021年中のMicrosoft Defender for Office365が排除したフィッシングメールは357億件。
- AADで多要素認証やパスワードレス(例えば生体認証)を利用割合は22%にとどまる。
上記の数字はAADを利用する企業ユーザーを元に割り出しているが、それでも多要素認証やパスワードレスの利用者が22%というのはあまりにも低い。現在はパスワードに頼ったセキュリティ対策が成立せず、生体認証や異なるデバイスで認証許可を出す多要素認証は欠かせない。そのためMicrosoftは「Microsoft Authenticator」、Googleも「Google Authenticator」と認証アプリを提供している。確かに多要素認証を有効にするのは面倒だが、一度設定してしまえば作業は終了。転ばぬ先の杖(つえ)ではないが、セキュリティ対策としてはもちろんのこと、気持ち的な安心感も比較にならない。
さて、名前が挙がったGoogleも現地時間2022年2月8日にセキュリティ対策強化の結果を報告している。公式ブログによれば、同社は2021年10月からスマートフォンやセキュリティキーなどを組み合わせる多要素認証を標準で有効化する旨を発表。サイバー犯罪者がアカウントのハッキングを試みると、多要素認証を要求してパスワードの脆弱性を排除する取り組みだ。その結果としてGoogleは、1億5,000万ユーザーに対して認証の自動対応に成功し、アカウントの侵害が50%減ったと述べている。
注目したいのはMicrosoftとGoogleの異なるアプローチだ。Microsoftはあくまでユーザー自身が設定を有効化し、セキュリティ対策の啓蒙活動に努めている。Googleは段階的ながらも自社が設定を変更し、スマートフォンにインストールした「Google Smart Lock」で検証を行う仕組みを選択した。
また、MicrosoftはAADやMicrosoftアカウントでパスワードレスを実現。Googleも「長期的にパスワードへの依存を減らす技術に取り組んでいる」と公式ブログで述べている。今後はパスワードレスの流れに乗るのだろう。
一昔前はサードパーティー製のパスワード管理アプリが半ば必須だったが、現在はWebブラウザー自身がパスワード管理機能を備えるため、手間は大幅に軽減している。合わせて多要素認証を有効化すれば、万全ではないにしても個人ができるセキュリティ対策としては「現時点」で十分だ。