セキュリティの
学び場

今回の解説ニュース

クラウドサービスのアカウントが乗っ取られ、メールの送受信履歴から個人情報が漏洩した可能性があるということです。クラウドサービスを利用する際に、アカウントが乗っ取られないための対策について説明します。

今回のインシデントは、利用者がメールの不調に気が付いたことをきっかけに調査が行われ、海外からの不正アクセスが判明したということです。直ちにアカウントのパスワードを変更後、アカウントの停止が行われました。その後、詳細な調査を実施したところ、海外からの不正アクセスが約1か月半にわたって行われており、メールの送受信履歴からパスワードロックがかかっていない延べ183名の患者を含む個人情報が漏洩した可能性があると発表されています。

対策として、クラウドサービスのログインに多要素認証を導入し、ファイアウォールの設定を強化したということです。

アカウント乗っ取り対策に効果「多要素認証」

IDとパスワードが知られてもアカウントを乗っ取られない対策として、多要素認証の導入が挙げられます。今回のインシデントでも対策として実施されていますので、その内容と、多要素認証を導入した上でも気を付けるべきポイントについて説明します。

多要素認証とは、アクセス権限を得るために必要な要素を複数要求する認証方式です。最もよく使われるIDやパスワードなどの「知る要素」スマートフォンやICカードなどの「持つ要素」指紋や静脈などの「備える要素」を複数組み合わせて認証の強度を上げます。今回のインシデントでは「ウイルス等の不正プログラム及びフィッシングサイトへのアクセス記録は見つからず」とされていますので、それ以外の何らかの方法でIDとパスワードが攻撃者に知られてしまったことが考えられます。多要素認証が導入されていれば、IDとパスワードが盗まれたとしても、それだけでは攻撃者にアカウントが乗っ取られることはありません。

しかし、逆を言えば、多要素認証で使われている他の要素を盗まれてしまうと、アカウントが攻撃者に乗っ取られてしまいます。具体的には、多要素認証に使っているスマートフォンの操作が不正アプリによって盗聴されたり、生体認証で使っている指紋情報がそのまま複製されたりすることで、認証を突破されてしまう可能性があります。

特に気を付けなければいけないのが、すべての要素を入力させるフィッシングサイトです。スマートフォンの盗聴や指紋情報の複製には複数の条件が必要となりますが、フィッシングサイトの場合は1つの条件で攻撃が成立してしまいます。実際に被害が発生していていますので、多要素認証を設定しているからと言って安易に認証情報を入力することは避けましょう。

メールでパスワードを別送する手法「PPAP」のリスクとは？

パスワード付きzipファイルと、そのパスワードを別送する、いわゆる「PPAP」と呼ばれる手法のセキュリティリスクについて説明します。

日本固有の習慣「PPAP」

セキュリティ用語のPPAPとは、「パスワード付きzip暗号化ファイルを送ります」「パスワードを送ります」「暗号化」「プロトコル」の頭文字を取った、メールで添付ファイルを送信する日本固有の習慣です。効果が低いことや、逆にリスクを助長するとも言われています。具体的には、メールのアカウントが乗っ取られて送受信履歴を閲覧された場合、添付ファイルと一緒にパスワードが書かれたメールも漏洩してしまいます。今回のインシデントでは同様の問題はなかったようですが、PPAPで送られたパスワード付きzipファイルに、セキュリティ対策としての意味はあまりないようです。

メール送受信履歴から添付ファイルを漏えいさせない為に

メールのアカウントが乗っ取られても、メールの送受信履歴から添付ファイルが漏洩しないための対策として、オンラインストレージの利用が挙げられます。オンラインストレージでは添付ファイルがダウンロードできる回数や有効期限を設定できるため、メール自体が閲覧されても添付ファイルがダウンロードされることを防ぐことができます。

新しい脅威へ対応するために様々なセキュリティ対策が存在していますが、利用者の手間も考えた上で、効果的なセキュリティ対策を選択していただければ幸いです。