「パスワードとIDの認証は破綻した仕組みだ」パスワードレスの未来はまだ遠い？：Cybersecurity Dive（2/2 ページ）

パスワードによる認証は最もメジャーなセキュリティ対策と言っても良いだろう。だが、この方法は根本的な欠陥を抱えている“破綻した仕組み”だ。

[Matt Kapko，Cybersecurity Dive]

IDのらん用がシステムの安全性を損なっている

　認証の不備はサイバー攻撃を激化させている。不正なユーザーにアクセス権が与えられると悪いことが起こる。サイバー攻撃者は正当なアクセスに見える権利を得ると、データの盗難やランサムウェア、恐喝キャンペーンなど、あらゆる種類の混乱を引き起こす。

　オンライン認証技術の標準化を目指すFIDO Allianceのエグゼクティブディレクターであるアンドリュー・シキアール氏は「これらの侵害やサイバー攻撃の大半は、脆弱（ぜいじゃく）な知識に基づいて管理されるユーザー認証やパスワードに起因する」と話す。

　「根本的な問題は主要な認証要素であるパスワードだ。私たちは60年間、この不適切なユーザー認証方法に依存してきた」（シキアール氏）

　パスワードがアクセスの承認または拒否に適用されるバイナリメカニズムは、問題の根本なのだ。

　全てのシナリオにおいて、アクセスが最初に防御すべき点ではないかもしれないが、CloudflareのCEOであるマシュー・プリンス氏は「アクセスは他の全てのセキュリティの問題を管理しやすくするため、最も重要な防御である」と述べる。

　IBM Security X-Forceによると、認証情報はダークWebで販売されている資産の90％を占め、認証情報を扱うビジネスは好調だ。これらの情報は1件当たり平均11ドルで取引されている（注10）。

　フィッシングやデータ侵害によって漏えいするこれらの認証情報を手に入れたサイバー犯罪者は、潜在的に膨大な報酬を得ることになる。

　大手電気通信事業者であるVerizonがデータ侵害についてまとめた報告書によると（注11）、盗まれた認証情報は侵害時の最も一般的な侵入経路になる。サイバーセキュリティ事業を営むCrowdStrikeが過去1年間に調査した全ての侵害のうち、5件に4件で不正に取得された認証情報が使われていた（注12）。

　サイバー攻撃者は、有効な認証情報を使って電力やガス、鉄道、空港などの重要インフラを攻撃している。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によると、2022年に重要インフラに対して実行されたサイバー攻撃の半分以上が認証情報を悪用したものだった（注13）。

　システムへのアクセスとIDは非常に重要であり、攻撃者も防御者もそれを知っている。

　パスワード管理サービスを提供するKeeperのCEO兼共同創設者であるダレン・グッチオーネ氏は次のように述べる。

　「IDとアクセス管理は、サイバーセキュリティの中で最も重要な要素であり核である。それが全ての始まりだ」

パスワードレスの未来へのゆっくりとした前進

　現在、アクセスの暗号化を拡大し、世界からパスワードを排除する取り組みが進められているが、変更は難しくその任務は並外れている。

　フィッシング耐性のあるMFAなどの一部の取り組みは、公開鍵と秘密鍵の非対称ペアや生体認証またはFIDO2標準などの暗号化技術に依存しており、より高いレベルの保証を提供できる。

　FIDO Allianceによって開発されたパスワードレス標準（パスキー）も支持と勢いを増している。

　「パスワード問題を解決するために協力してもらいたいほぼ全ての企業が、この団体で協力している」とシキアール氏は語った。

　課題の規模は膨大であり、原因の背後にある業界の連携や全てのエンドポイントにわたる機能、アプリとサービスの開発、広範なユーザーの導入が必要だ。

　Cyber security Diveがインタビューした複数のCISOは、組織全体でのパスワードレス化に関心を示した。ただし、多くの重要なシステムはこの認証プロトコルをサポートしておらず、今後もサポートしない可能性があるため、パスワードレスへの道は、新しいバージョンのテクノロジーとインフラが登場するまで待つ必要がある。

　Illumioの連邦分野CTOであるゲイリー・バレット氏は企業とその情報にアクセスするIDが完全に確実であるということが「完全に証明されたと感じる段階に到達するかどうかは分からない」と話す。

　「私は理想の世界ではなく、現実の世界で生きようとしている」とバレット氏は語った。

（注1）Companies wade through 367 apps to get work done（CIO Dive）
（注2）LastPass breach timeline: How a monthslong cyberattack unraveled（Cybersecurity Dive）
（注3）LastPass CEO reflects on lessons learned, regrets and moving forward from a cyberattack（Cybersecurity Dive）
（注4）Investigations are causing data breach costs to skyrocket, IBM finds（Cybersecurity Dive）
（注5）Cost of a Data Breach Report 2023（IBM）
（注6）Okta entangled by Twilio phishing attack（Cybersecurity Dive）
（注7）Okta says 2.5% of customers breached, as Lapsus$ sows disorder（Cybersecurity Dive）
（注8）Okta’s GitHub source code stolen, company downplays impact（Cybersecurity Dive）
（注9）Twilio employees duped by text message phishing attack（Cybersecurity Dive）
（注10）Compromised credential use jumps 300% in cloud intrusions: IBM（Cybersecurity Dive）
（注11）2023 Data Breach Investigations Report（verizon）
（注12）Threat actors abuse valid accounts using manual tactics, CrowdStrike says（Cybersecurity Dive）
（注13）Valid account credentials are behind most cyber intrusions, CISA finds（Cybersecurity Dive）