先週もお伝えした「ドコモ口座」不正被害の影響が広がっています。被害にあった金融機関のひとつ、ゆうちょ銀行は9月16日に記者会見を行い、代表執行役副社長の田中進氏が「これまで決済サービス事業者に二要素認証の導入をお願いしていたが合意にいたらなかった。今後早急に導入して対策としたい」と発表しました。ゆうちょ銀行はドコモ口座(d払い)だけでなく、PayPay、LINE Pay、メルペイ、PayPalといった決済サービスとの連携を行っていましたが、現在それら事業者に対し新規口座登録と出金を停止しています。また、セキュリティ対策としてゆうちょ銀行自身が二要素認証導入に踏み切ったことになります。
今回は改めて、ドコモ不正送金事件に端を発したセキュリティの欠陥の背景と、本当に今求められるセキュリティとは何なのかを併せて検証してみたいと思います。
二要素認証とは
二要素認証とは知識認証(本人だけが知っている知識)、所有物認証(人の持っている所有物で認証)、生体認証(本人の身体的特徴で認証)と呼ばれる「認証の3要素」のうち2つの要素を組み合わせてユーザの身元を確認する仕組みのことです。従来は「パスワード認証だけ」というのが多かったのですが、単純なためパスワードの漏えいや解析などによる不正アクセスが増加しています。そのため、認証を強化するために単一の認証要素だけでの認証ではなく「知識認証+所有物認証」「知識認証+生体認証」というように、二種類の認証要素を組み合わせて認証を行うことが推奨されるようになってきました。多要素認証とも呼ばれます。対して二段階認証は、認証の"段階"を2回経て認証しますが、要素の数は問われません。
二要素認証の例
- ワンタイムパスワード認証(OTP)…使い捨てパスワードの入力
- 生体認証…顔など身体の一部を確認
- 電子証明書認証…電子証明書のインストール
- トークンなどの所有物認証…専用トークンの配布
- マトリクス認証…暗号表で割り出した番号を入力
オンラインバンキング等ではログイン時に、IDとパスワードを入力し、さらに銀行から送られてきたハードウェアトークンに表示される番号や、暗号表で割り出した番号を入力させる「パスワード認証+トークンなどの所有物認証」が導入されています。
なぜ二要素認証が必要なのか
ID/パスワードによる本人認証方式のみを採用しているサービスでは、悪意のある第三者にID/パスワードを知られた場合、不正ログインによって個人情報流出やクレジットカードの不正利用などの被害に遭う恐れがあります。また、ユーザが複数のサービスで同じID/パスワードを使い回すことで、1つのサービスからID・パスワードが流出した際に他のサービスでも不正が実行される可能性があります。二要素認証は、不正ログイン防止策としてよりセキュリティを強固にします。
ゆうちょ銀行が二要素認証の導入を進めた背景
今回ゆうちょ銀行が導入を進める二要素認証は、音声通話を活用するIVR認証(2019年1月導入)や、通帳残高の入力を求める認証(2020年5月)になります。これまで決済事業者に強く導入を求めてきたとしながら、導入してこなかった理由については「決済事業者が顧客の利便性向上などを理由に、合意してこなかった」という旨の発言により強い反発を招いています。
被害発覚前から二要素認証を導入していたファミペイとpringはサービスを継続していますが、他の10事業者とは決済サービスの連携を停止、今回ゆうちょ側で自ら二要素認証の導入に踏み切っています。これまで導入に足踏みしていたセキュリティ対策に急に舵を切った背景は以下のようなものがあります。
ドコモ口座以外の被害の発覚
そして16日の会見を通じ、ドコモ口座以外のスマホ決済サービスでも不正利用が発生していたことが新たに発覚しています。ドコモ口座での不正引き出しは82件、1546万円となり、15日時点で分かっている被害額2676万円の半数以上を占めています。他にもドコモ口座以外のスマホ決済サービスで不正利用が発生していたことが新たに発表され、連携している10事業者全ての連携サービス停止となりました。ゆうちょ銀行側が発表している被害状況は以下の通りです。
- PayPay 17件 141.5万円
- LINE Pay 2件 49.8万円
- PayPal 2件 1万円
- メルペイ 3件 49.8万円
- Kyash 3件 23万円
これらの被害は15日に高市早苗総務大臣(当時)が「ゆうちょ銀行からヒアリングした」と語るまで発表されませんでした。よって、さらに「金融庁とゆうちょ銀行は責任を持って、正しい情報を開示すべき」と厳しい提言を出されています。キャッシュレス決済を政府としても推し進める中で、いかにセキュリティが重要か政府としても危機感を抱いていることが発言から垣間見えます。
モニタリングの限界
ゆうちょ銀行は「暗証番号などの情報の入手経路は調査中。パスワードをゆうちょのシステム上で直接試す行為は検知できるが、今回はそうではない。動きを見るのは非常に難しい」と説明しています。決済サービスを経由して入ってくるため、攻撃を検知しづらく、モニタリングによって防御しづらい状況であるとのことです。そのため他の防御手段の導入が必要という判断に至ったように見えます。モニタリングの限界とずさんな本人確認の問題を改めるため、今回二要素認証の導入が決定されたのです。
以上がゆうちょ銀行がこれまで実施してこなかった二要素認証に踏み切った背景です。これまで導入を決済サービス会社に「要請していた」としながら、非協力的だったのでできなかったと言い訳していますが、セキュリティにおける、「全てが危険で信頼できない」という前提に立つゼロトラストの考え方を持っていれば、今回のように付け入られることもなかったのではないでしょうか。次はこのゼロトラストについて考えてみます。
ゼロトラストネットワーク(ZTN)とは
外部・内部問わずすべてのトラフィックを信頼しない「性悪説」を前提として、都度認証することで脅威を防ぐというセキュリティの概念がゼロトラストネットワーク(ZTN)です。
- ネットワークの内外は常に脅威が存在
- ネットワークのセグメント≠セキュリティセグメント
- ネットワークの内外全てのユーザー・デバイス・フローを信用せず、都度認証
こうした「完全に信頼できるものはなにひとつ無い」という考え方を根底にした、セキュリティ対策モデルです。
境界型セキュリティとの違い
従来のファイヤーウォールやIPS、IDSなどを代表としたセキュリティ対策を企業の内部と外部の境目に設置し、外部からの侵入を感知し防御をおこなう方法は「境界型セキュリティ」と呼ばれ、ほとんどの企業がこの考え方に基づいたセキュリティ対策の設計を採用し、運営されています。境界型セキュリティでは外部のみに的を絞って重点的にセキュリティ対策を行い、一度侵入されてしまえばマルウェア等悪意あるサイバー攻撃に対しては、まったくの無力の状態になってしまいます。
ゼロトラストのメリット
- データ流出リスクが軽減される
社内や社外といった場所に関係なく、全てのアクセスへの認証を行います。端末とユーザの認証が確認できなければ、システムやアプリケーションにログインできません。ファイヤーウォールで守り切れない情報も防御可能です。
- システムの複雑さが軽減できる
ゼロトラストはクラウドベースなので、仮にグローバル展開を望む場合でも企業のシステムはシンプルな構築で万全なセキュリティ環境を作ることができます。全ての機能がクラウドサービス内で構築でき、システムの複雑さは大幅に軽減することが可能です。
- どこからでもアクセス可能
自宅やサテライトオフィス、顧客先のオフィスなど、場所を問わずに社内ネットワークやアプリケーションにアクセス可能です。
- 漏えいした場合の検出時間が短縮される
デバイスごとにアクティビティのモニタリングをするシステムにより、万一侵入・漏えいしてしまった場合でも、そのインシデントをいち早く特定することが可能で、迅速な対応が可能となります。
さいごに
二要素認証等のセキュリティは、何度も認証の手続きを経なければいけないという、ユーザ側にとってわずらわしいというデメリットが存在します。今回のゆうちょ銀行をはじめとする決済サービス不正送金事件のターゲットになった金融機関は、決済サービスの普及と、利便さを天秤にかけて、導入を先延ばしにしてきました。しかし、時代にあったセキュリティ対策を迅速に敷けなかった結果、多くの信用を失う事になりました。
ゼロトラストの考え方はあらゆるセキュリティに通じるものがあります。例えば現在普及しているテレワークにおいても、セキュリティ対策がなされていない会社パソコンがわずか1台でもVPN経由で社内ネットワークに接続することは、企業が保有する機密情報、顧客情報を危険にさらすとともに、社内システムを危険にさらすことになります。そしてそれに対した認識があれば、きちんとしたセキュリティ対策を行うことが必要だとわかります。しかし、なし崩し的にテレワークを導入した企業では、十分な情報セキュリティ面での検討・リスク低減のための対策を行わずにテレワークに踏み切った企業も多数あるのではないでしょうか。
ゼロトラストネットワークなら企業で今まで使っているネットワークシステムに左右されることなく効果的なセキュリティシステムを構築することができます。今回のドコモやゆうちょの事件を教訓に、必要なセキュリティ対策について検討してみましょう。
