<ドコモ口座の不正利用を機に改めてリバースブルートフォース攻撃を理解する>
皆さん。
近頃、世間をにぎわせているこのドコモ口座のニュース。
と記事を書いている間にもドコモ以外にもどんどん被害が拡大していると報道されてますね。
(いかに日本がセキュリティインシデントを公表しない文化なのか痛感しますね・・・)
セキュリティ業界で働かれてる方はもちろん、一般の方でもほとんどご存知だと思います。
今回のドコモ口座等の不正利用事件ですが、セキュリティ業界にいる僕からみると今後、攻撃の手口等の詳細が公表されるのか?が非常に気になるところですが、巷では今回の一連の事件で「リーバスブルートフォース攻撃」が使われたのでは?なんてことが言われてます。
本当にリバースブルートフォースが使われたのかは分かりませんが、せっかくの機会ですからリバースブルートフォース攻撃についてご紹介できればと思います(^^)/
→IDとPWでログインする特定のシステムに不正にアクセスする一つの手段であり、PWを固定し、いくつものIDを試行することでシステムへの不正アクセスを試みること。
代表格はドコモ口座の不正利用でも取り上げられている「パスワードスプレー攻撃」。
例えば、以下のようなイメージです。
PW:123456
ID:Suzuki→Sato→Tanaka→Kobayashi・・・(←成功するまでここを変えまくる)
※IDの名称に特段の意図はなく、一般的に多い苗字を使用しております!
所謂、ブルートフォース攻撃は上記の例のPWとIDが逆の関係になり、IDではなくPWを変えまくりアクセス成功を目指します。
・ブルートフォース攻撃との違い
→どちらも不正アクセスを成功させる手段であることに変わりはありません。
ただこれはシステム側の問題で、ほぼすべてのシステムでは「1つのIDで何度もPWを間違えることは怪しい!」としているが、いくつかのシステムでは「1つのPWで何度もIDを間違えることは怪しい!」としていない(=もしくはそうできない)ため、その弱点をついたのがリバースブルートフォース攻撃といえます。
・対策はどうするか?
→アプローチはいくつかあると思いますが、巷では多要素認証等々があがっていますね。その点もふまえ、以下の対策案をご紹介したいと思います!(^^)!
ちなみにここでふれるのは「リバースブルートフォース攻撃への対策」であって、今回の不正利用事件への対策ではありません。
不正利用事件で言えば、どうみても口座開設時の本人確認が甘すぎますし、これだけ不正利用が広がっていること考慮すれば、各銀行、証券会社のセキュリティ対策がいかに甘いかというお話です・・・
僕も同じ銀行や証券会社を利用しているので怒ってます(# ゚Д゚)
さて、以下リバースブルートフォース攻撃への対策例となります!
-NW機器で対応
:昔からあるアプローチです。対リバースブルートフォース攻撃だけにフォーカスすれば有効であるといえます。具体的にはリバースブルートフォース攻撃に対応しているセキュリティサービスや機器(WAF、FW、UTMなどでしょうか)を導入することが挙げられますね。(^^)/
-アプリケーションで対応
:これもよく聞くアプローチです。「1つのPWで何度もIDを間違えることは怪しい!」というロジックをアプリに組み込むという話ですが、これはサービス提供側からすると正しいユーザーのログインをブロックしてしまう危険と隣り合わせなどで容易ではないです。( ;∀;)
-多要素認証で対応
:ログインするために、IDとPW以外の要素を加えようというのがこのアプローチです。リバースブルートフォース攻撃を含め、他の不正アクセスに対しても効果が期待できます。但し、SMSで登録されている電話番号にパスコードを送るという方法(SMS認証)は昔から安全性に疑問の声があります。例えば、何らかの方法で攻撃者が自身の電話番号を登録できてしまったり、「SMSインターセプト」という攻撃手法も現に存在しています。そのため、要素として何を要素にするかが最重要であり、認証アプリによるOTPなどは比較的安全であるといえるかと思います。
(※当然、信頼できる企業が提供するアプリであることが必須です!)
-二段階認証で対応
:これは多要素認証と混同されてるケースも多いのですが、IDとPW以外の要素を使用するのではなく、入出金などの「重要な操作の時にログイン時とは異なるPWを必須とする」ようなアプローチを言います。身近なところだとインターネットバンキングでの出金時などに第二のPWを入力する必要があるケースなどが挙げられます。お気づきの方もいらっしゃるかもしれませんが、二段階認証は多要素認証と組み合わせることが可能であり、組み合わせることで相対的に安全性は高くなるといえます。
最後にですが、多要素認証・二段階認証について忘れてはならいことをご紹介して終わろうと思います!!
それは「ユーザーの利便性」です。
基本的に認証*の要素が増え、段階が増えるにつれて、そのサービスの利便性は低下するということです。(*正確にはアクティブ認証のこと。パッシブ認証は含まない)
教科書のようですが、セキュリティ対策は必要最小限であることが重要ということですね。(その最小限がどの程度か?が難しいのですが・・・)
今回は以上です!
ありがとうございました!