日本でも発生したクラウドサービスからの情報漏えい
お役立ち
複数の報道内容から推察される某国内大手電機メーカーの不正アクセス事件の概要
某国内大手電機メーカーは2021年3月、同社が利用しているOffice 365(Microsoft 365)に不正にログインされ、新たに1,115件の取引先情報や個人情報が流出したと発表しました※1。これはすでに2020年11月に公表された不正アクセス事案に関する続報であり、前回報告された8,635件を加えると、合計9,750件の情報流出となります。なお同社は防衛関連の重要案件に関与することが多いこともあり、これまでにも複数回にわたるサイバー攻撃を受けています。この事案の直前には2019年6月に不正アクセスが検出されており、2020年1月にその調査結果が報道されています。
セキュリティに関係する事案ということもあり、不正アクセスの詳細に関する情報は公開されていません。しかし2020年11月に発覚した不正アクセスがどのようなものかは、複数の報道内容から推察することが可能です。
まず同社の公式の調査結果※2によれば、まず中国にある子会社への不正アクセスがあり、これによって不正に窃取されたアカウント情報が悪用され、攻撃が行われたとされています。ここで疑問なのが、これまでにも複数回の攻撃を受けており、セキュリティに関する豊富な知見を持つ同社が、窃取されたアカウント情報だけで不正アクセスできる状況にあったのはなぜなのか、ということです。もし多要素認証を利用していれば、窃取されたアカウント情報だけで不正アクセスを行うのは、かなり難しくなるのではないでしょうか。
この疑問に関して、同社では多要素認証を導入していた、と指摘する報道もあります。社内で独自に本人認証システムを運用しており、この認証をパスしなければOffice 365にはアクセスできない状況だったと言うのです。もちろんその詳細については情報が公開されていないので、具体的にどのようにしてこの多要素認証が突破されたのかはわかりません。
ここでもう1つ興味深い指摘があります。それは「従来はVPN経由で社内ネットワークに入ってからOffice 365にアクセスしていたが、コロナ禍による在宅勤務導入後にVPNサーバーが容量オーバーになったため、一般的なアクセスに関しては一度社内の本人認証システムでの認証を受ければ、VPNを経由せずに直接Office 365にアクセスできるようになっていた」という内容です。これに関しては株式会社インターナショナルシステムリサーチ(ISR)が、2021年4月20日に行った記者発表会で言及しています※3。
脚注
※1 https://www.itmedia.co.jp/news/articles/2103/29/news130.html
※2 https://www.mitsubishielectric.co.jp/news/2021/0326.pdf
※3 https://cloud.watch.impress.co.jp/docs/news/1320092.html
適切な多要素認証を導入した上で確実に運用することが安全性確保の鍵
これらの情報から推察すると、某国内大手電機メーカーが導入していた多要素認証は社内で認証チケットのようなものを発行し、それとOffice 365の認証情報を組み合わせることでアクセスを許可するものだったこと、その運用ルールがコロナ禍で緩和されていたこと、その結果攻撃者にとって不正アクセスが容易な状況になっていたこと、といったことがおぼろげながら見えてきます。もちろんこれはあくまでも推察であり、事実がどうであったかはわかりません。
ここで多くの読者にとって気になるのは、自社でも同様の被害が発生するのではないか、これだけやすやすと突破されるのであれば、多要素認証のセキュリティは十分ではないのではないか、ということでしょう。しかし実際にはそうではありません。適切な多要素認証の仕組みを導入し、それを確実に運用することで、このような被害を防止することは不可能ではないのです。
まず多要素認証に関しては、確実な本人認証に必要にして十分な機能を持ち、世界的な実績があるサービスの利用をお勧めします。その1つとしてここで挙げておきたいのが「OneLogin」です。
まず注目したいのは、OneLoginが複数の認証方法をサポートしていることです。その中には、事前に登録されたスマートフォンを持っていないとログインできない「スマホアプリ認証」、FIDO2をベースにハードウェアトークンや生体情報などを利用する「WebAuthn認証」、あらかじめ登録しておいた電子メールアドレスにPINコードを送信する「Eメール認証」、あらかじめ登録しておいた携帯電話番号にSMSでPINコードを送信する「SMS認証」などが含まれています。これらのうち、SMS認証は2016年の米国大統領選挙で突破されたことがあるため、導入・運用には注意が必要です。高い安全性を確保するには、生体情報やFIDO2を使った多要素認証が望ましいと言えるでしょう。
【多くの認証方式に対応するほか、Google Authenticatorなど3rd Party認証も利用可能】
またOnleLoginには、アクセス元のIPアドレスによるアクセス制限や、電子証明書を導入した端末からのみアクセスを許可する機能もあります。ユーザーの場所や使用端末を制限することで、不正アクセスの危険性をさらに下げることができます。さらにSmartFactor Authenticationという機能を活用すれば、アクセス状況のリスクスコアを評価した上でリスクスコアの高いアクセスにだけ多要素認証を要求する、といった運用も可能です。セキュリティの強化だけではなく、ユーザーの利便性とのバランスを考えた運用も行えるのです。
| リスクベース認証 (Smart MFA) |
普段と異なるIPからのアクセス、深夜時間帯のアクセスなど、利用状況を把握し、機械学習で危険性をスコア算出。危険度に応じてMFAを要求することが可能です。 |
|---|---|
| アクセス拒否 (Smart Access) |
設定したリスクスコアの閾値を超えた場合、OneLoginへのアクセスそのものを拒否することが可能です。 |
| 認証フロー設定 (Smart Flow) |
従来のID→パスワード入力ではなく、ID→MFA→パスワードなど認証フローをよりセキュアに設定することでパスワードへのアタックから強力に防御することが可能です。 |
| 危険なID/パスワード検知 (Compromised Credentials Check) |
ID/パスワード設定時、過去に漏洩があったID/パスワードリストに含まれていないかをチェックし、危険性の高いパスワードの利用を未然に防止することが可能です。 |
【セキュリティレベルを高めるSmartFactor Authentication】
もちろんコロナ禍でテレワークが多くなった昨今の状況では、社外に持ち出されるデバイスの管理も重要になります。デバイスのOSが古く十分なセキュリティパッチが適用されていない、安全性が十分に確認されていないアプリケーションが導入されている、といった状況では、ここから情報漏えいが発生する危険があるからです。これを容易にするソリューションが統合エンドポイント管理(UEM:Unified Endpoint Management)です。この機能を装備した代表的な製品としては、MobileIronが挙げられます。これとOneLoginを組み合わせることで、テレワーク環境でも堅牢なセキュリティを確保しやすくなります。
某国内大手電機メーカーの不正アクセス事件は、決して他人事ではありません。しかし必要以上に恐れる必要もないと言えるでしょう。「多要素認証を導入すれば大丈夫」というレベルにとどまることなく、「どの多要素認証が効果的なのか」「それとどの機能や製品を組み合わせればより強固なセキュリティを実現できるのか」といったことまで視野に入れることで、セキュリティレベルを確実に高めることができるのです。
