これまで5回に分けてパスワード突破の経路、突破の手法、リスト型攻撃の怖さ、そして、弊害を生む可能性があるルールについて解説させていただきました。今回はそれらを踏まえた上で、最後のパスワードのトビラを開けましょう。

著者プロフィール

辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社


セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。

また、アノニマスの一面からみ見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。

Twitter: @ntsuji

不正ログインは誰の責任?

不正ログイン被害は日常的に起きているわけですがこれらは誰の責任なのでしょう。

パスワード突破の中で最も厄介であると考えられる「リスト型攻撃」のターゲットとなった企業のお知らせには下記のような文章がありました。

「このたびの事態を厳粛に受け止め、原因の徹底究明と全社を挙げて再発防止に取り組むとともに、お客様の金銭的被害が発生しないよう関係機関と連携を図りながら対処して参ります。」
(出典 : 株式会社イーブックイニシアティブジャパン 【重要なお知らせ】不正ログイン被害のご報告とパスワード再設定のお願い)

とても誠意のある文章だと感じました。そして、行われた攻撃に対する分析も詳細でした。

セキュリティ事故を起こしてしまった様々な組織のお知らせを筆者は見てきましたが、その中でも群を抜いて好感が持てるものだと思います。

しかし、同時に違和感も覚えました。それは「再発防止に取り組むとともに」の部分です。

考えてみてください。

パスワードを利用した不正ログイン被害の発生は提供側だけの責任なのでしょうか。

被害を食い止められなかった原因を考えてみましょう。筆者が思いついた、可能性を含む原因となりえるものは以下の通りです。

(1) 複数のサービスでパスワードを使い回していた。
(2) 容易に推測可能なパスワードを設定していた。
(3) 多要素、多段階認証※1(殆どの場合、二要素、二段階)の仕組みを用意していなかった。

※1 パスワードだけに頼らず、SMSやワンタイムトークン、バイオメトリクスなどを追加で用いてセキュリティレベルを向上させる認証の仕組み。オンラインバンキングなどでは比較的早い段階から導入されていた。現在では昨今の不正ログインの状況を受けてFacebookやEvernoteなど大手のサービスで導入が進んでいます。Twitterでも利用可能になってます。

それぞれに「利用側が」もしくは、「提供側が」という主語を付けてみてください。

どの項目にどの主語がマッチしましたか。

おそらく、(1)(2)は「利用側が」、(3)は「提供側が」となると思います。

(1)(2)が原因として考えられる場合、提供側は(3)ないし類似の方法以外で「再発防止」ができるのでしょうか。

セキュリティの担保は誰がする??

誰が悪いということを決めたいわけではありません。

皆さんにご理解いただきたいことは、事故が発生してしまったときに必ずしも提供側が一方的に悪いというケースばかりではないということです。「リスト型攻撃」というのはその典型的な例だと思います。

例えば、A社とB社が認証を有するサービスを提供していたとします。

そこでB社がセキュリティ上の弱点を悪用されてパスワードが盗まれしまった場合、そのパスワードが自社のサービスで使い回されていてもA社はそれを知る術はなく、対処することはできません。

もちろん、提供側が先ほどの(3)のように多要素、多段階認証の仕組みを正しく用意していればパスワードのみで不正ログインをされることはほぼないと言えますが、それには時間も費用もかかります。利用者としては最大限に保護してほしいという気持ちはありますが、現状を鑑みると簡単にすべてのサービス事業者が実現できるものではないと筆者は考えています。

「サービスは完璧なセキュリティを実現した上で提供すべきである」――もちろん理解はできますが、仮にこれを行わなければいけないとしたらいくつかのサービスがこの世の中から消えざるを得ないでしょう。当然、サービスを提供する以上はある程度のセキュリティレベルを提供側が担保する必要があると筆者も考えていますが、時代と共にそれだけでは立ち行かないところにまで来ているのではないでしょうか。サービスは利用者が成長させていくという側面もあると思います。私たち利用者もできる限りの自衛をし、提供側と一緒になってセキュリティを担保していく必要があるのではないでしょうか。

車の製造メーカーとドライバーの関係を考えてみてください。

昨今の車は、エアバッグ、歩行者障害低減ボディ※2、追突軽減ブレーキ※3など様々な安全機能が提供されています。人を守るための機能です。しかし、これらの機能がどんなに搭載されていたとしても、ドライバーが交通ルールを守らなかったり、危険運転をしてしまってはそれらの機能を最大限に活かすことができず不幸な結果を招いてしまうことでしょう。

※2 対人事故の際、歩行者の足や頭がぶつかる可能性の高い部分を柔らかくし、障害を低減するボディ。

※3 衝突が避けられない状況に陥った際、被害を最小限に抑えるための技術。走行中、前方を監視し、衝突が避けられないと判断したときにブレーキやシートベルトのゆるみなどを操作し衝撃に備える仕組み。

言うまでもありませんが、車の製造メーカーはサービス提供者、そして、ドライバーは私たちのようなユーザ1人1人のことです。

安全を実現するためにはどちらか一方の力では実現できないと筆者は考えます。

私たち利用者にできることはなにか。

それは前回までで書いてきましたのでここで言うまでもないですよね。