2012年11月6日火曜日

認証への攻撃(Apple, Amazon, iCloud, Google, その他パスワードを使う認証)

  • このエントリーをはてなブックマークに追加
"WIRED記者の悲劇から学ぶ「セキュリティ9つの常識」"というタイトルで、とあるハッキングの詳細を共有することは、Mat Honanを情報システムのセキュリティの記録の中に残すこととなりました。

彼に多大な犠牲を払わせた、Apple、iCloud、Amazon.com、Gmailなどを含む欠陥のある認証システムの特定の相互依存性は、Matが公にしなければ、おそらくまだ存在していたでしょう。

クラウド:ESETセキュリティブログ

Twitter上で展開されたまとめを見ていない方は、こちらのWiredの記事で詳細をお読みください。

消そうとしているiPhone、iPadやMacBookの中でのApple Supportのソーシャルエンジニアリングによって、どのくらいのMatのデータをハッカーが消し去ってしまったかについて先週末に報道されたニュースのように、企業はすぐにApple IDのパスワードのリセットを電話越しに行うのを中止するように動きました。


Amazonもまた反応を示し「顧客サービス部門に残された事は、もはや電話をかけたりユーザに関連付けられたクレジットカードや電子メールアドレスなどのアカウント設定を変更出来なくしたりするよう、ポリシーを変えることです」と述べています。


■ 問題は解決したか?そうでもない

Matの人生を消し去ったハッキングを正確に再現するのは今は不可能ですが(ある種の慰めのつもりで書いています)、独立しているが相互に絡まった情報システムで現在使用されている認証方式の弱点を悪用する他の方法を利用するのは完全に可能です。

システム乱用のパターンを観察した数十年に基づいて、私は、以下のようなことが起こる可能性が高いと思います。

a: ハッキングできる可能性があるとして、よりハッキングしてくる
b: より多くの人が対象にされる
c: それらのすべての人々が名誉ある努力をするとは限らない

専門的には、オンラインの世界では現在、認証子(電話番号、メールアドレス、Social Security番号は識別子であり、認証子ではありません)と識別子の凶悪な融合に苦しんでいます。この状況は、効果的に共有鍵を実装するという広まった出来損ないとして融合されます(初めて飼ったペットの名前は共有鍵ではなく、また私のピン番号のすべての桁を求めることは浪費であり妨害を呼び込む要員です)。

この混乱の全ての基礎となるのは、シングルファクターでの認証に過度に依存したことと、複数の認証子(マルチファクター)という誤った考えが驚くほどに広まったことです。

マルチファクター認証には、A:パスワードのような、あなたが知っている何か、B:物理的な鍵のような、あなたが持っている何か、C:あなたの顔や指紋や手のひらの静脈などのように、あなたである何か、という3つの要素があります。

私が知っている2つまたは3つ以上の情報について私に尋ねるというものは、マルチファクター認証ではありません。 多額の研究予算がある大企業がこの間違いを選ぶ理由を推し測るのは難しいですし、お金を払う誰か(消費者自身、また、広告をサポートするサイト上もしくはアプリやサービスの中で広告費を払う人々)がいるサービスに安全に誘導するために消費者にセキュリティ専門家になるように強制するのは不公平だという印象を受けます。

オンラインデータおよびサービスへのアクセスを制限するという課題は、ユーザー名+パスワードの代わりにメールアドレス+パスワードによる認証への切り替えによりって融合されています(個人のメールアドレスは、非公共のユーザ名より推測したり、発見したりすることが容易です)。

また、詮索好きな目からパスワードを守るという点で、一部の組織に明らかな無能さがあります。既報の通り、6月だけでも開示されたパスワードは数百万に及びます。

例えば、LinkedIn、eHarmonyやLast.fmです。

7月には40万人以上のユーザ名とパスワードがYahooから盗まれ、またソーシャルネットワーキングサイトのFormspringや衣類会社のBillabong、ゲームサイトのGamigo、およびPhandroid and Nvidiaのフォーラムのすべてで、同じような被害をこうむりました。

このブログ閲覧されている方は、「パスワードを変更すること」「取得推測しにくいパスワードを選択すること」「サービスごとに異なるパスワードを使用すること」という私達のアドバイスをうんざりするほど見てきたでしょう。

我々は、これに「アカウントIDとしてメールアドレスを採用する主要なサービスには別のメールアドレスを使用すること」を追加する必要があるかもしれません。

場合によっては「あなたのフラストレーションを、主要なオンラインプレイヤーに知られるようにしよう」も追加したいと思っています。

つまり、認証を行うのにより良い方法があり、我々は企業に、より良い認証の実装を期待しているのだと知らせる必要があります。


■ 余震が継続する可能性が高い

この事件は、一般的な消費者向けクラウドサービス(特にAppleのiCloud)の普及をどのくらい妨げるのでしょうか?

認証サービスが改善されるまでは、GoogleやAmazon、Dropbox、MicrosoftやAppleのような汎用のクラウドサービスにデータのバックアップを信頼できるものとして推薦する多くのセキュリティ専門家とは会いません。

MozyやCarboniteのような専用のオンラインバックアップサービスを提供する企業にとっては、このニュースは薄暗いものではないかもしれません。あなたの全体のビジネスモデルがバックアップサービスの場合、それをどう管理するかに細心の注意を払っていくのが良いでしょう。

一方で、オフライン・バックアップへの関心が新たに生まれそうです。

例えば、USBハードディスクドライブのようなものです(皮肉なことに、OS Xに搭載されたTime MachineというAppleの秀でている面が、私が選んだ個人的なバックアップサービスです)。


出典:blog.eset.com
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る