VPN情報漏洩とパスワードの限界

2020年8月に、国内で38社、世界で900社を超える企業のVPN機器から流出したIPアドレスやパスワードをはじめとする認証情報約900件がダークウェブに出回っていることが確認されました。

新型コロナウイルスの感染症対策でテレワーク導入が進む中、テレワーク環境のセキュリティが大きな課題となっています。
自宅や外出先などの外部から会社のネットワークにアクセスをVPN経由にすることで、セキュリティを向上させる方法は、急遽テレワークを導入した場合の対策としては採用しやすいため、このような環境構築を実施した会社も多いでしょう。しかし、肝心のそのVPN機器の脆弱性を突かれて、最も守るべき認証情報が漏洩してしまった、というのは非常に由々しき問題と言えます。

該当のVPN機器では、すでに1年以上前に深刻な脆弱性があることが判明しており、メーカーやセキュリティ機関などでは、脆弱性対策をおこなったアップデートを適用するように告知していたにもかかわらず、アップデート未対応の機器が狙われてしまいました。

今回のニュースでは、IDとパスワードの情報の流出は確認できていないとのことですが、もし流出してしまえば、たとえどんなに複雑で長いパスワードでも、セキュリティとして意味はありません。また、そのパスワードを別のサービスへの侵入に使う「パスワードリスト攻撃」に使われるおそれがあります。
そのため、他の認証方式や、複数の認証方式を組み合わせる多要素認証を導入し、不正アクセスを防ぐことが推奨されてます。

この事件から改めて考えさせられることは、認証は、それを利用するユーザーがどれだけ気を付けていても、認証システムを提供する側が認証情報を流出させてしまえば、安全性は崩れ去ってしまう、ということです。
私たちユーザーが、複雑で独自のパスワードを使っていたとしても、サービス側がそのパスワードを流出してしまうような形で保存していると、台無しにされてしまうのです。そのため、サービスごとのパスワードの使い分けで、せめて被害が広がらないように自衛することしかできません。残念ですが、これがパスワードの限界なのです。

さらに言えばユーザーは認証方式を選ぶことはできません。パスワード、生体認証、ワンタイムパスワード、ICカード、さらに複数を使用する多要素認証など、様々な認証方式のどれを採用するのかは、機器やサービスを提供する事業者が決めることで、ユーザーはそれに従うか、利用するのを止めるしかないのです。

事業者は、ユーザー側に安全なパスワード管理を求めるだけではなく、パスワードの弱点を補完する認証方式を導入したり、認証情報を含む、ユーザーの個人情報を守るために、セキュリティ対策を実施していくことがサービスの価値に含まれると言えるでしょう。
とはいえ、認証の安全性だけでなく、導入や運用のコスト、ユーザビリティなど、様々な点で複合的な検討も必要です。

パスワードは、「ユーザーが使い方に気を付ける」ことと「サービス側がデータ管理を徹底する」ことが成立していれば、追加の機器を必要としないため端末を問わずに扱える、安全で低コストの認証方式です。
逆に言えば、「ユーザーが使い方に気を付けなければいけない」、「サービス側がデータ管理を徹底しなければいけない」というコストがかかるとも言えます。
認証の今後は、ユーザーとサービスが、何にコストをかけることを良しとするのか、コンセンサスを取りながら発展していくことになるでしょう。

パスロジも、企業向け、個人向けを問わず、認証のこれからを提案してまいります。

>業務用認証セキュリティシステム「PassLogic」
>リモートデスクトップ用セキュリティ「X3Secure for RDP」
>パスワード管理アプリ「PassClip」