Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ゼロトラスト実現の鍵はFIDO

FIDO つぶやいてみた。 不正アクセス事件

消費者は生体認証の利用に躊躇している。最新の調査ではその効果を理解しつつも、生体認証情報が漏えいするリスクを懸念している実情が浮かび上がってきます。

www.infosecurity-magazine.com

Nomidioの新しい調査によると、消費者のわずか14%が、デジタルサービス、Webサイト、またはアカウントにログインするために生体認証方法を頻繁に利用しています。

これは、調査対象者の半数以上(57%)が、バイオメトリクスによって認証が迅速になると述べているにもかかわらずです。さらに、54%と53%が、それぞれログインをより簡単に、より安全にすると考えていました。

この認証方法の使用に関して人々が抱いた最大の懸念は、回答者の3分の1が引用した、生体認証データが悪意のある攻撃者の手に渡るリスクでした。これに続いて、29%が、ログインした場所を示す行動データがIDプロバイダーによって販売されることへの懸念を表明しました。

4分の3近く(71%)が、複数のアプリをダウンロードする必要がある場合、生体認証を延期すると述べています。

(Infosecuerity Magazine記事より引用)※機械翻訳

 

 

キタきつねの所感

クリスマス、年末年始に向けてコロナ禍(第3波)の影響もあり、ECサイト利用をする方は例年以上に多いと予想されています。

当然の事ながら、攻撃(ハッカー)側も、そこをチャンスと捉えてクレジットカード情報や個人情報の窃取を狙っている訳ですが、認証サービスを提供しているNomidioの調査では、86%の消費者が生体認証(バイオメトリックス)をあまり活用していない様です。

調査対象の半分以上が、認証スピードが速くログインがより安全であると理解しながら、「警戒している」実情がある様です。

回答者の1/3は生体認証情報が悪意のある攻撃者に渡ってしまう事を警戒しており、ログイン情報を示す行動データが知らない内に他社に販売されている事を懸念しています。後者は生体認証だけでなくID/パスワードでも同じ事なので、前者の懸念の方が、生体認証の課題となっていると考えて良いのかと思います。

 

この調査データから考えると、やはりFIDOに行きつくのではないかと思います。FIDOは生体認証情報をサーバー側に持たせずにクライアント側に保存する優れた設計思想(事実上の世界標準と言っても過言ではないかと思います)をベースにしており、NTTドコモ、LINE、GoogleMicrosoft、ヤフー等々、多くの企業が採用しています。

 

この辺りの実装に関しては、12/4 PM(※既に前半開催の12/1は終了)にもまだ無償オンラインセミナーが開催されるので、ご興味ある方は聴講してみてはは如何でしょうか。

fidoalliance.org

 

余談です。本日はFortinetの脆弱性の記事について書こうかと思ったのですが、既に多くの識者の方が記事を書かれていますし、8月にPulse SecureのVPN脆弱性が話題になりましたので、結論から言えば「早急にパッチを当てて下さい」で終わってしまうので、あまり気づきになる事は少ない気がしたので止めました。

Pulse SecureのVPN製品が狙われている - Fox on Security


少し心配なのが、Pulse Secure、FortigateとVPN製品の脆弱性だけでなく、他にもCritical/Highの脆弱性が報告されている製品もあるという事です。今回の約5万件の欠陥が放置された機器の認証情報リスト(※内5400が日本関連)があるという事は、他の製品の認証情報リストも、当然ハッカー側は持っていると考えるべきかと思います。

 

予言記事の様になってしまいましたが、9月に書いた記事を再掲します。

Pulse Secure、Fortinetのリストが出た事を考えると、Palo Alto、Citrix、BIG-IP等の脆弱性もリスト化されていると考えるべきです。パッチを当てない企業/組織は何らかの理由があるのかと思います。しかしそれがただ単に、24/265運用を止めたくない、あるいは忘れていた・・というのであれば、 早急にパッチを当てる事を考えた方が良いのではないでしょうか。

foxsecurity.hatenablog.com

参考まで、JPCERT/CCの注意喚起へのリンクを掲載します。

Fortinet (CVE-2018-13379)
任意のファイルを読み取り、認証情報などの機微な情報を取得する可能性

Palo Alto Networks (CVE-2019-1579)
攻撃者がリモートから任意のコードを実行できる可能性

複数の Citrix 製品の脆弱性 (CVE-2019-19781)
遠隔の第三者が任意のコードを実行する可能性

複数の BIG-IP 製品の脆弱性 (CVE-2020-5902)
認証されていない遠隔の第三者が、影響を受ける製品の Traffic ManagementUser Interface (TMUI) 経由で、任意のコードを実行するなどの可能性

 

更に余談ですが、、、VPNやRDP等の外接する重要なセキュリティ機器の認証(ゼロトラストの実装)には多要素認証として、生体認証(FIDO)が利用されてしかるべきだと思います。

重要機器に対する多要素認証の実装が遅れている事が、不正アクセス、あるいはそこを起因とした2重恐喝(ランサム)被害が拡大している要因ではないでしょうか。

ゼロトラストが必要であると盛んに言われる様になってきましたが、まず最初に取り組むべきなのがVPNやRDP周りである事を忘れてはいけないのかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

マスクを付けた顔認証のイラスト(女性)

 

更新履歴

  • 2020年12月2日 AM