こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
公立大学法人熊本県立大学は12月13日、熊本県立大学メールアカウントの不正利用について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】本人が意図して二要素認証を解除し、簡単なパスワードを使いまわしていたことにより、メールが不正に利用されてしまったということです。アカウント情報が第三者に悪用されないための、二要素認証やパスワード使いまわしの危険性について説明します。
今回のインシデントは、メールアカウントが何者かに不正に利用され、メールシステムの情報が閲覧・取得された可能性が判明しました。原因として、原則となっていた二要素認証が利用者本人の申し出により除外していたこと、利用者のパスワードとして数桁の簡単なものが使用されていたこと、メールアカウント・パスワードが他のサイトで使用されていたことが重なったためと推測されています。
対策として、当該アカウントのパスワードを変更し、不審メール発信停止を確認しました。また、利用者からからアドレス帳登録先にメールで謝罪、報告、注意喚起を行い、端末のウイルススキャン、メール内情報の精査等を行っています。
再発防止策として、二要素認証除外については一切認めない方向で見直しと、電子・個人情報の安全管理の周知徹底を行うということです。
二要素認証とは、本人であることを認証するための要素を2つ求める認証方式です。求められる要素として、知る要素、持つ要素、備える要素があり、本人に属するそれぞれの要素を組み合わせることにより、より信頼性の高い認証を行うことができます。
例えば、AさんがATMでお金を引き出すことを想像してください。Aさんはキャッシュカードを持っており、4桁の暗証番号を知っています。つまり、Aさんは持つ要素と知る要素によって認証を行い、結果として自分の口座からお金を引き出すことができるわけです。ただし、大切なお金ですから、持っていると知っているの二要素だけでは心配ということもあり、生体認証を組み合わせた多要素認証を提供するキャッシュカードも実際に存在しています。
インターネットでは、知る要素であるパスワードともう一つの要素を組み合わせた認証が多く見られます。ちなみに、二段階認証がパスワードと暗証番号の組み合わせのように、同じ要素で認証を行う方式も含まれるのに対して、二要素認証は別の要素の組み合わせを求める認証方式であるため、より厳密な認証を行うことができます。
パスワードの使いまわしが危険である原因として、他のサイトで使われていたパスワードが漏えいした際に、別のサイトまで被害を受けてしまう可能性があるからです。
例えば、Aさんが財布を落としてしまったとします。財布の中には免許証、クレジットカード、キャッシュカードが入っていたとして、仮にすべての暗証番号に誕生日が使われていたとします。免許証から得られた誕生日の情報はクレジットカードだけでなく、キャッシュカードにも使われてしまうことは、お判りいただけるのではないでしょうか。
残念ながら、世の中のWebサイトがすべてセキュリティ対策が万全であるとは言えません。皆さんがご利用中のWebサイトからアカウント情報が漏れる可能性を考えた場合、パスワードの使いまわしはリスクがあると言わざるを得ない状況です。漏洩したアカウント情報を使って他のサイトを攻撃するパスワードリスト攻撃は、対策の難しいサイバー攻撃の一つと言われています。
今回は、二要素認証とパスワード使いまわしの危険性についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ