Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

Office365もFIDO2に積極対応していく(はず)

Office365の大学での普及率は2015年時点で70%を超えているので、恐らくほぼ全ての大学が今や何らかの形でOffice365のお世話になっていると言っても過言ではないようです。

ict-enews.net

これは取材前の予備知識だが、Office 365 Educationの利用者は2014年12月時点で220万にいるらしい。Office 365 Educationの主な市場は大学だ。日本の大学生はおよそ280万人、教職員は一般的に学生の1割程度らしいのでおよそ30万人として、合計で310万人。310万人のうち、220万人が使っている。占有率は70%以上になる。

 

最初の質問として、「利用者220万人て、凄いですよね」と訊くと「この数字が凄いという実感はないですね。高校などでも使って頂いていますし、大半が無料サービスの利用者ですから」と中川さん。えっ、Office 365 Educationて、無料なんですか。

(ICT教育ニュース記事より引用)

 

◆キタきつねの所感

先日の明治大学の記事、あるいは産総研の記事などを考えると、2018年がどんな年だったのかを振り返るのはまだ早いかも知れませんが、Office365等のクラウドサービスがハッカー側にとって有効な攻撃対象だと認識された年と言えるかも知れません。

特に大学は、その絶対的な普及度が故に、認証情報をフィッシングで狙われる事件もありましたし、容易に推測できそうなパスワードだったり、他サイトから漏洩したパスワードを使いまわしていた事を原因とした攻撃も受けています。

www.nikkei.com

ふと思い出したのは、今年3月の記事。米国も含めて全世界の大学の情報資産が狙われた事件なのですが、これもOffice365等のクラウドサービス(One Drive等)を大学が利用しており、IDとパスワードの脆弱点を突かれたという部分では同じ原因であった可能性がありそうです。

foxsecurity.hatenablog.com

Googleで調べると、明治大学同様に、少なくない大学が学生や教員向けの情報ページに、例えばIDは「学籍番号」ですといった、Office365に対する不正ログイン攻撃のヒントになる様な情報を(未だに)掲載しています

この部分はマイクロソフトにも責任があるかも知れません。

大学や高校に対して(ほぼ)無料で機能を提供し、市場を占有しているのは、マイクロソフトなのですから、IDパスの限界については既に理解しているはずです。

f:id:foxcafelate:20181103075726j:plain

一方で、こうしたIDパスの脆弱点に有効な、多要素(多段階)認証をオプションとしてOffice365は適用可能なのですが、ざっと大学が提供しているOffice365の使い方ページを見る限り、そうしたオプションを提供している大学はほぼありません

大学側がクラウドの便利な所にばかり目が向いて、リスクを認識してないという事なのかも知れませんが、私はサービスを提供する側、すなわちマイクロソフト社の説明責任もあるのではないかと思います。

大学の現状を見る限り、少なくても積極的にマイクロソフト社が説明している様には見えません

 

多要素認証には(USBキーまたはスマホサービス等の)費用がかかる事から、Office365の最大のセールスポイントである(ほぼ)無償という部分が崩れるからかもしれませんが、もっと説明すべきではないでしょうか?(この辺り、エバンジェリストとしての西脇さんの見解も聞いてみたいものです)

 

Office365に多要素認証は、実際はオプションとして使えるのですが、日本語説明ページ機械翻訳のままでは、大学(ユーザー)は積極的に導入しようとは思わないのではないでしょうか

f:id:foxcafelate:20181103082639j:plain

 

マイクロソフト(米国)は、パスワード認証の脆弱性について考えているようです。事実Windows10の最初の認証にはFIDO技術も使われていますし、「パスワードレスを目指す国際的なアライアンスである」FIDOのボードメンバーとして、FIDO2(新しいWeb認証の規格)の検討を主導しています。

そうした意味において、オフィス365に対しても、FIDO2(生体認証)あるいは多要素認証の標準的な導入に対しても積極的な対応をしていくのではないか・・・と期待したいと思います。

cloudblogs.microsoft.com

毎年楽しみにしているFIDO東京セミナー。今年は12/7に開催されるようです。(今年は参加できるか・・・まだ微妙ですが)マイクロソフトも講演がある様ですし、なによりヤフーがFIDO2対応をする話が聞けると思うので、出来たらまた聴講できたらな・・と思っています。

www.sbbit.jp

about.yahoo.co.jp

 

オフィスのイラスト

 

 

更新履歴

  • 2018年11月3日AM(予約投稿)