事例で学ぶセキュリティインシデント（第12回）使い回しのID、パスワードが盗まれて不正アクセスの被害に

　システムやサービスの利用時に必要な認証情報(ID、パスワードなどのアカウント情報)を悪意のある第三者が盗み取り、不正アクセスする手口は以前からある。問題は、人間の記憶に頼るパスワード認証には限界があることだ。複雑なパスワードの設定や定期的な変更が推奨されるものの、システム、サービスごとにいくつものパスワードを覚え切れず、同じパスワードを使い回したり、推測されやすい数字や文字を利用したりする問題が以前から指摘されている。

　また、攻撃者もさまざまな手法を使ってパスワード情報を解読しようとする。例えば、いくつもの文字列のパターンを試してパスワードを割り出す総当たり攻撃や、パスワードに使われやすい単語を組み合わせて割り出す辞書攻撃の他、企業・組織を装い、悪意のあるWebサイト(フィッシングサイト)に誘導しID、パスワードを入力させて盗み取る手口もある。攻撃者が盗み取ったID、パスワードを使ってシステムに不正アクセスする被害を抑えるには、同じパスワードの使い回しを止める、推測されやすいパスワードを設定しないといった適切な設定・管理が欠かせない。

　そして、ID、パスワードによる認証に加え、複数の認証方法を組み合わせて認証する多要素認証を採用すると効果的だ。利用する度にパスワードを変えるワンタイムパスワードや、スマホなどのショートメッセージを使って本人認証を行うSMS認証、顔や指紋など本人固有の情報を使う生体認証などがある。

　多要素認証の利用が広がり、クラウドストレージやオフィスアプリケーションなどの主要なクラウドサービスが対応。クラウドサービスごとに多要素認証情報を入力するのは手間がかかるが、複数のクラウドサービスの認証情報を1つにまとめてユーザー管理とシングルサインオンなどのアクセス管理が行える認証基盤サービスや、クラウドサービスの認証コードを一括管理し、多要素認証によるログインが可能なスマホ向けアプリケーションなどもあり、アクセス時のセキュリティ強化に向けた多要素認証サービスの選択肢が広がっている。

多要素認証を組み合わせセキュリティ強化

　IT担当者が販売管理システムへの不正アクセスを調べたところ、ある店舗の共用パソコンのID、パスワードを悪用していたことが判明した。販売管理システムには、商品の受発注や在庫、出荷、購買などの情報が記録・保存されており、L社にとって重要システムといえる。攻撃者の狙いは不明なものの、データの改ざんは限定的であったことから、データを修復してシステムの利用を再開した。

　また、IT事業者の支援を受けて社内システムに不正侵入する入り口となるバックドアが仕掛けられていないかどうかを調査した。バックドアを仕掛けられると、攻撃者は認証せずにシステムに入り込み、重要情報を盗み出したり、他社を攻撃する踏み台にされたりする恐れがある。

　L社では不審なアクセスを監視・防御するため、ファイアウォールやIDS/IPS(不正侵入検知/防御)、ウイルス対策などのセキュリティ機能を統合したUTM(統合脅威管理)ツールの導入や、不正な通信などを通知する遠隔サポートサービスの活用を検討することになった。

　そして、不正アクセスの原因となった店舗のID、パスワード管理について、共用パソコンの利用は社員に限定し、SMS認証など多要素認証の採用を検討する。また、社員とパートの従業員にメールでやり取りしていた業務の情報については、ビジネスチャットを利用するなど、共用パソコンに依存しないコミュニケーション方法へと変更することとした。

　IT担当者はインシデントの経緯を全社員に報告し、安易なID、パスワードの設定や使い回しは厳禁であることを改めて徹底するとともに、社員の異動・退職時の認証情報の変更・削除など適切な管理を行うように自戒した。