【ITニュース解説】「Okta」を使うな――攻撃者による“偽招待”の危険
ITニュース概要
認証システム「Okta」に対し、攻撃者がSlackを装う偽の招待で侵入を試みている。ユーザーに安全な認証「Okta FastPass」の利用を禁じさせる手口だ。フィッシングに強い認証を企業が設定で強制することが重要となる。
ITニュース解説
ITシステムを利用する上で、私たちが最も基本的ながらも重要な要素として「認証」がある。認証とは、コンピュータシステムやWebサービスにアクセスしようとしているのが、本当にその人(本人)であるかを確認する仕組みを指す。この認証の仕組みが破られてしまうと、第三者が本人になりすましてシステムを不正利用し、情報漏洩やシステムの破壊といった深刻な被害をもたらす可能性がある。 今回のニュース記事は、企業が従業員の認証情報を一元的に管理し、複数のサービスへのログインを安全かつ簡単にするためのクラウドサービス「Okta」に関するセキュリティの脅威と、それに対する対策の重要性を伝えている。Oktaは、多くの企業で利用されている、いわば「鍵の番人」のような存在だ。 そのOktaが提供する認証方法の一つに「Okta FastPass」というものがある。これは、一般的なIDとパスワードの入力だけでなく、より高度なセキュリティ技術を使って本人確認を行う。例えば、パソコンやスマートフォンに搭載された指紋認証や顔認証といった生体認証機能を利用したり、利用しているデバイスが企業のセキュリティ基準を満たしているか(例えば、OSが最新の状態か、特定のセキュリティソフトがインストールされているかなど)を確認したりすることで、強固な認証を実現する。このFastPassは、特に「フィッシング攻撃」と呼ばれる詐欺手法に対して非常に高い耐性を持つことが特徴だ。 フィッシング攻撃とは、詐欺の一種で、攻撃者が金融機関や有名なWebサービスになりすまし、偽のWebサイトやメールを使って、ユーザーからIDやパスワード、クレジットカード情報といった個人情報をだまし取ろうとする手法を指す。ユーザーが偽サイトにアクセスして認証情報を入力してしまうと、その情報が攻撃者の手に渡り、不正ログインなどの被害につながる。Okta FastPassのような、デバイスの状態や生体認証を組み合わせた認証方法は、たとえパスワードが盗まれたとしても、それだけではログインできないため、フィッシング攻撃への耐性が高いとされている。 今回のニュースで報じられた攻撃では、このOkta FastPassが標的となった。攻撃者は、多くの企業で日常的に使われているビジネスチャットツールである「Slack」からの「招待」を装った偽のメッセージを送りつけ、ユーザーをだまそうとしたのだ。この偽の招待メッセージは、ユーザーに対して「Okta FastPassの利用を停止させる」か、あるいは「FastPassが適用されない古い認証方法を使わせる」ことを目的としていた。 なぜ攻撃者はFastPassを使わせないようにしたかったのか。それは、FastPassがフィッシング攻撃に強い認証方法だからだ。FastPassが無効化されたり、あるいはユーザーがFastPass以外のフィッシングに弱い認証方法を使わされたりすれば、攻撃者は容易にユーザーの認証情報を盗み出し、本人になりすましてシステムに侵入できる可能性が高まる。つまり、攻撃者は一番堅固な「鍵」を回避させ、もっと脆弱な「鍵」を使わせようとしたわけだ。 この事件が浮き彫りにしたのは、「フィッシング耐性のある認証をポリシーで強制すること」の重要性である。どんなに優れたセキュリティ技術が開発されても、ユーザーがそれを正しく使わなかったり、だまされて安全な設定を解除してしまったりすれば、その効果は失われてしまう。企業が「FastPassのような安全な認証方法を必ず使うこと」というルール(セキュリティポリシー)を定めて、システム側でそれを強制するように設定していれば、たとえユーザーが偽の招待メッセージにだまされそうになったとしても、ポリシーによって安全な認証方法の使用が義務付けられているため、攻撃は成功しにくくなる。 システムエンジニアを目指す初心者にとって、この事例は多くの教訓を含んでいる。まず、セキュリティは常に攻撃者とのイタチごっこであり、新しい防御技術が生まれると、それを回避しようとする新たな攻撃手法が登場することを理解する必要がある。次に、単に最新のセキュリティ技術(Okta FastPassのようなもの)を導入するだけでなく、それをどのように企業全体のセキュリティ戦略に組み込み、運用していくかという「ポリシー設計」が非常に重要であることだ。技術的な対策と同時に、その技術を最大限に活かすためのルール作りとその強制力こそが、システムの安全性を高める上で不可欠となる。最終的には、ユーザーへの教育も大切だが、システム側の強制力(ポリシー)によってセキュリティの穴を塞ぐアプローチが、現代の複雑なサイバー攻撃に対抗するために不可欠であると、このニュースは私たちに訴えかけている。