パスワード定期変更に関する変遷と不正アクセス対策
Akamai Japanブログでは過去に何度か不正アクセス対策としてBot Managerの紹介をしてきました。
ボットの不正ログインを検知・遮断 - Bot Manager Premier
イープラスがチケット買い占めボットを撃退!導入事例と読み解きポイント
Botを「いなす」アカマイの技術 〜銀行法改正とスクレイピング〜
本ブログではパスワード定期変更が推奨されていた時代を振り返りながら、昨今の対策事情とBot Managerの位置付けについて説明していきます。
パスワードの定期変更はいつまで推奨されていた?
すでにご存知の通り、現在ではパスワードの定期変更は推奨されておりません。総務省の「国民のための情報セキュリティサイト」では、安全なパスワード管理の項目にて"パスワードを複数のサイトで使いまわさない(定期的な変更は不要)"というアナウンスがされています。
出典: 総務省『国民のための情報セキュリティサイト』(http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html)
実は総務省でのこのアナウンスは2018年3月に実施されています。それ以前はパスワードの定期変更が推奨されていました。では、なぜ「不正アクセスを防ぐためには、定期的にパスワードを変更すべき」と考えられていたかというとNIST (National Institute of Standards & Technology: 米国国立標準技術研究所) のガイドラインの改訂が大きく影響しています。NISTのガイドラインは電子的認証のセキュリティに関する事実上の世界標準となっており、日本政府を含む各国政府がこのガイドラインを参照に自国向けのガイドラインを作っています。そして、NISTのガイドラインでは2017年6月の改訂を迎えるまで「電子的認証に関するガイドライン」には一貫して「パスワードは定期的に変更すべき」と記載されていました。NISTのガイドラインに大幅な改訂がなされた理由としては、ユーザが推測しやすいパスワードを設定したり、類似パスワードを使い回すことになってしまったことが理由と言われています。パスワードの定期的を強制されると、「複雑なパスワードを覚える」よりも「変更しても覚えやすい簡単なパスワード」を使い回してしまう結果になってしまいました。
不正アクセス対策におけるBot Managerの位置付け
ここまででパスワード変更に関しての最新状況をお伝えさせていただきましたが、現状を鑑みた「不正アクセス対策における検討ポイント」の実際としては以下が挙げられます。
不正アクセス対策における検討ポイント
・不正アクセス (ログイン) 試行に対して対策ができるか
・攻撃者が保持している情報の精度をあげないための対策ができるか (例:ユーザの新規登録機能への対策など)
・不正アクセス (ログイン) は防げるが、結果として正しいID/Passwordの存在を示してしまっていないか
・ビジネスへの影響を最小限に抑えることができるか (利便性)
・大量のログイン試行がなされた際のキャパシティは十分であるかどうか
すべてのユーザが上記のガイドラインに従っているわけではないというのも事実としてあり、パスワードを使い回しているユーザは80%以上存在すると言われています。このような状況の中で、不正アクセスのリスクをなくしていくためにはユーザ側のパスワード管理も必要ですが、サービスの提供者側も不正アクセスのリスクをなくすための対策を取ることはひとつの義務として捉えるべきです。また、不正アクセス対策として、"不正なログインをさせない"という観点だけでの対策は昨今では不十分であることが言えます。
例えば、ユーザの新規登録機能に対して、攻撃者が入手したメールアドレスを使って新規登録を試みたとします。このとき、すでに登録されたメールアドレスであれば、おそらくアプリケーション側から「このメールアドレスはすでに登録されています」という旨のメッセージが表示されることが予想されます。このメッセージは結果として攻撃者にそのメールアドレスを使ったユーザは存在していることを教えてしまうこととなり、攻撃者が持っている情報の精度を高めてしまうことを意味します。そのため、"不正なログインをさせない"という観点だけでなく、攻撃者にとって有益となり得る情報を与えないようにするということも不正アクセス対策において考慮すべき部分です。
不正アクセス対策として取り上げられる2段階認証やCAPTCHAテストにおいても注意が必要です。例えば、2段階認証が実装されたサービスに不正なログインを試みたとします。このとき、入力されたID/Passwordが正しければアプリケーションは2段階目の認証に必要な情報の入力を求めます。攻撃者は2段階目の認証情報を入手することは困難なため、このサービスへのログインはできませんが、攻撃者が持っているID/Passwordの情報の組み合わせとしては存在することがわかってしまいます。これらの情報をその後どう扱うかはわかりませんが、DarkWebで販売し利得を得るということも可能性としては考えられます。CAPTCHAテストにおいては、バイパスするためのツールは世の中に散在しており、大きな効果が見込めなくなっていることに加え、SLAの部分も課題になりかねません。(CAPTCHAテストの認証をするためのサーバがダウンしてしまった場合、サービスにログインできなくなる)
また、こういった2段階認証はユーザにとっての利便性が落ちる可能性があり、このような理由から2段階認証を採用しない/したくないと考えている人たちも少なくないと思われます。
弊社のBot Managerはこのような攻撃者に有益な情報を与えてしまうことに対しても有効(もちろん実際の不正アクセス試行に対しても有効)であり、総合的な不正アクセス対策が可能です。また、BotManagerを利用することでユーザに対して一手間が加わる訳でもなく、利便性とセキュリティのトレードオフの部分のギャップを埋めるソリューションであるとも言えます。
さいごに
本稿ではパスワード定期変更が推奨されていた時代を振り返りながら、昨今の対策事情とBot Managerの位置付けについて紹介しました。国として安全なパスワード管理の方法としてパスワードを複数のサービスで使いまわさないことをアナウンスしておりますが、まだまだ大半のユーザがパスワードが使いまわしているのが現状であり、サービスの提供者側も不正アクセスのリスクをなくすための対策を取ることはひとつの義務として捉えるべき事項と考えます。本稿が皆様のセキュリティ対策を考える上での一助となれたら幸いです。
