Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

「多要素認証」と言っても色々あるんです

5,253 views

Published on

http://eng-blog.iij.ad.jp/archives/75

Published in: Technology
  • Be the first to comment

「多要素認証」と言っても色々あるんです

  1. 1. © 2016 Internet Initiative Japan Inc. 1 株式会社インターネットイニシアティブ 「多要素認証」と言っても色々あるんです ※本資料の内容や意見は、報告者個人に属し、IIJ の正式見解を示すものではありません。
  2. 2. © 2016 Internet Initiative Japan Inc. 2 不正アクセスに関連した3つの数字 約 800,00093.1%3個 複数のサイトで パスワードを 使いまわしている ユーザの割合 「トレンドマイクロ/ パスワードの利用実態調査 2014」 より 2014年に国内で報告された 自動化されたパスワード リスト攻撃による 不正ログイン行為の件数 ユーザが記憶可能な ID・パスワード数 (記憶の干渉の問題) 「野村総合研究所/ インターネットユーザーのIDに関する意識について」 より 「IPA/ オンライン本人認証方式の実態調査」 より
  3. 3. © 2016 Internet Initiative Japan Inc. 3 さきほどの3つの数字を象徴するような最近の「事件」  2016年5月末に6億4200万件のアカウント情報流出が発覚 • 事件内容 • LinkedIn、Tumblr や MySpace などのSNSや出会い系サイトから流出。 • 流出したデータが闇サイトで販売  その後、TeamViewer を用いた PC 乗っ取り事件が発生 • 事件内容 • 2016年5月末に発覚した6億4200万件のアカウント情報流出が発端で この流出データを元に TeamViewer に対して不正アクセスが発生 • 日本でも不正に PC が乗っ取られ、Amazon などで不正購入が行われた。 • TeamViewer 側の対策 • 二段階認証の導入 • パスワードリセットのお知らせが届く仕組みを導入
  4. 4. © 2016 Internet Initiative Japan Inc. 4 攻撃手段はパスワードリスト攻撃だけではありません ■パスワードに対する主な攻撃例 • 総当たり攻撃 (ブルートフォース攻撃) • 逆総当たり攻撃 (リバースブルートフォース攻撃) • 類推攻撃 • 辞書攻撃 • 事前計算攻撃 (オフライン) ・・・ ■認証プロセス等における脅威例 • オンライン上での 推測 • オフライン分析 • DoS 攻撃 • DDoS 攻撃 • フィッシング • ファーミング • 盗聴 • リプレイ攻撃 • セッション・ハイジャック • 中間者攻撃 ・・・
  5. 5. © 2016 Internet Initiative Japan Inc. 5 不正アクセスを防ぐために (参考)PCI DSS や経済産業省のクラウドセキュリティガイドラインでも二要素認証の記載が追加されています。 PCI DSS v3 以降 要件8 システムコンポーネントへのアクセスを確認・許可する 8.3 従業員(ユーザと管理者を含む)および第三者(サポートやメンテナンス用のベンダアクセスを含む)によるネットワーク へのリモートアクセス(ネットワーク外部からのネットワークレベルアクセス)に2因子認証を組み込む。 経済産業省 「クラウドセキュリティガイドライン活用ブック」より クラウド上の ID 管理においてはネットワークからの攻撃を受けるため、パスワードの複雑さだけではなく、二要素認証や二段階認証など の単体のパスワードの強度だけに依存しない対策を行うことが重要です。また、クラウドサービスを選択する際にも、コン トロールパネ ルやユーザ管理においてこれらの認証機能が選択できるところを選択するのが良い。 ユーザ視点でできる行うべき対策  水際対策 • パスワードの適切な設定・管理 • OSやアプリケーションの最新アップデート • フィッシングに対する注意 • 不正プログラムに対する注意 に加えて・・・  パスワード認証後の対策 • ログイン通知機能の有効化 • 多要素認証の利用
  6. 6. © 2016 Internet Initiative Japan Inc. 6 多要素認証って?
  7. 7. © 2016 Internet Initiative Japan Inc. 7 多要素認証とは 下記の異なる複数の要素を併用する認証方法 利用者が知ってるもの (Something You Know) • ID/Password 認証、Q&A 認証など 利用者が持っているもの (Something You Have) • PKI 認証、OTP 認証など 利用者自身 (Something You Are) • 生体認証など
  8. 8. © 2016 Internet Initiative Japan Inc. 8 色々とある「認証方式」 利便性 経済性 安全性 備考 利用者が 知ってるもの ID/PW 認証 ◎ ◎ △ • 単体ではセキュリティ強度に課題 利用者が 持ってるもの PKI 認証 ○ △ ○ • 導入/運用が煩雑 • 環境に依存 • 利用環境が限定される • 盗まれると総当たり攻撃により 漏洩する可能性がある ICカード認証 △ ✕ ○ • 導入運用が煩雑 • カードリーダが必要 • ICカードの携帯が必要 • コストが高い ワンタイム パスワード認証 (H/W Token) △ ✕ ○ • 中間者攻撃に対して脆弱性を残す • トークン機器の携帯が必要 • トークン機器のコストが高い ワンタイム パスワード認証 (S/W Token) ○ ○ ○ • 中間者攻撃に対して脆弱性を残す • 専用ソフトの導入が必要で、 トークン環境の健全が求められる ワンタイム パスワード認証 (over Mail) ◎ ○ △ • 中間者攻撃に対して脆弱性を残す • 利用している環境によって セキュリティ強度が左右する 利用者自身 生体認証 ○ ✕ ○ • 導入運用が煩雑 • コピーされる危険性がある • 生体情報なので変更が難しい • 怪我や病気で使えなくなる
  9. 9. © 2016 Internet Initiative Japan Inc. 9 パスワードレス化に向けた動向  モバイル端末を利用した生体認証環境が整備されつつあります。 • カメラ (モバイル端末全般) • Touch ID (iPhone) • Fingerprint Authentication (Android 6.0-)  次世代への認証サービスの検討も進んでいます。 • FIDO Alliance • U2F(Universal 2nd Factor)プロトコル • パスワード補完型: ex.「利用者が知ってるもの」+ 「利用者が持ってるもの」 • UAF(Universal Authentication Framework)プロトコル • パスワード置換型 ex.「利用者が持ってるもの」+ 「利用者自身」 • ACBio (Authentication Context for Biometrics) • 日本発で ISO国際標準規格として成立 • 生体情報は利用者側に保存され、 生体認証が正しく実行されたことの証拠情報のみがサーバへ送信 • 利用する生体認証は任意 • サーバ上で生体情報を登録不要
  10. 10. © 2016 Internet Initiative Japan Inc. 10 (おさらい)不正アクセスを防ぐために ユーザ視点でできる行うべき対策  水際対策 • パスワードの適切な設定・管理 • OSやアプリケーションの最新アップデート • フィッシングに対する注意 • 不正プログラムに対する注意 に加えて・・・  パスワード認証後の対策 • ログイン通知機能の有効化 • (万全ではないが・・・)多要素認証の利用 Ex. 中間者攻撃
  11. 11. © 2016 Internet Initiative Japan Inc. 11 Pelican-160415(1.0) お問い合わせ先 IIJインフォメーションセンター TEL:03-5205-4466 (9:30~17:30 土/日/祝日除く) info@iij.ad.jp http://www.iij.ad.jp/

×