目 次 1.はじめに 背 景 目 的 調 査 内 容 と 調 査 報 告 書 の 構 成 オンライン 本 人 認 証 の 概 要 認 証 と 認 証 手 段 認 証 の 3 要 素

Transcription

1 オンライン 本 人 認 証 方 式 の 実 態 調 査 報 告 書 平 成 26 年 8 月

2 目 次 1.はじめに 背 景 目 的 調 査 内 容 と 調 査 報 告 書 の 構 成 オンライン 本 人 認 証 の 概 要 認 証 と 認 証 手 段 認 証 の 3 要 素 認 証 手 段 (トークン) 認 証 方 式 その 他 の 認 証 方 式 アイデンティティ 管 理 電 子 認 証 のアーキテクチャモデル オンライン 認 証 のフレームワーク 認 証 フレームワークの 基 本 概 念 認 証 フレームワークの 例 (ID 連 携 / 認 証 連 携 ) オンライン 本 人 認 証 における 危 険 性 パスワードに 対 する 攻 撃 認 証 プロセス 等 への 攻 撃 オンライン 本 人 認 証 に 関 連 したインシデント 状 況 パスワードリスト 攻 撃 被 害 件 数 と 事 例 政 府 業 界 団 体 による 対 策 の 呼 びかけ ウイルスによる 認 証 情 報 の 窃 取 件 数 と 事 例 手 口 業 界 団 体 等 からの 対 策 呼 びかけ インシデント 事 例 の 分 析 (インタビュー 調 査 の 結 果 ) オンライン 本 人 認 証 にかかる 実 態 調 査 サービスサイト 側 調 査 実 施 の 概 要 認 証 方 式 の 状 況 ID の 設 定 について パスワードの 設 定 状 況 ID 連 携 について 認 証 プロトコルの 安 全 性 SSL 通 信 の 有 無

3 4.2. 利 用 者 側 調 査 実 施 の 概 要 調 査 仮 説 の 設 定 調 査 結 果 仮 説 の 検 証 課 題 と 対 策 インターネットサービス 提 供 者 の 対 策 利 用 者 が 許 容 範 囲 な ID パスワードの 検 討 各 種 サービスで 扱 う 情 報 の 資 産 価 値 に 応 じた 対 策 の 検 討 インターネットサービス 利 用 者 の 対 策 安 全 なオンライン 本 人 認 証 方 式 を 選 択 するために 現 実 的 な 脅 威 を 防 ぐために 利 用 者 が 独 自 に 実 施 できる 対 策 パスワード 管 理 を 支 援 する 参 考 情 報 課 題 付 録 1:アンケート 調 査 票 付 録 2:その 他 のアンケート 調 査 結 果 票

4 1.はじめに 1.1. 背 景 目 的 オンライン 本 人 認 証 は 様 々なシステムやサービスで 利 用 されているが システムやサービスの 8 割 程 度 が ID パスワードによる 認 証 であるといわれる(シマンテック 社 による 調 査 1 ) 一 方 個 人 の ID パスワードが 窃 取 され 不 正 アクセスに 悪 用 される 情 報 セキュリティインシデントが 多 発 している 独 立 行 政 法 人 情 報 処 理 推 進 機 構 ( 以 下 IPA という )では これらの 本 人 認 証 に 係 るインシデントの 発 生 を 受 け インターネットサービス 利 用 者 ( 個 人 )とサービス 提 供 者 の 実 態 を 調 査 し 双 方 にとって 安 全 でかつ 実 装 に 過 剰 な 負 荷 がかからないオンライン 本 人 認 証 方 式 の 要 件 を 検 討 するため 本 調 査 を 実 施 した 1.2. 調 査 内 容 と 調 査 報 告 書 の 構 成 オンライン 本 人 認 証 方 式 における 実 態 調 査 として 公 開 情 報 及 びインタビューを 基 に 具 体 的 な インシデント 事 例 を 調 査 した また インターネットサービスサイトを 対 象 として サービス 利 用 者 に 要 求 している 認 証 情 報 についての 調 査 およびインターネットサービス 利 用 者 ( 個 人 )を 対 象 として 本 人 認 証 に 関 するアンケート 調 査 を 実 施 した 本 調 査 報 告 書 では 第 2 章 にオンライン 本 人 認 証 の 概 要 第 3 章 にオンライン 本 人 認 証 に 関 わ る 具 体 的 なインシデントに 関 する 調 査 結 果 を 報 告 する 第 4 章 では インターネットサービスに おいて 提 供 しているオンライン 本 人 認 証 の 実 態 調 査 の 結 果 及 びインターネットサービス 利 用 者 を 対 象 としたオンライン 本 人 認 証 のアンケート 調 査 結 果 を 報 告 する 最 後 に 第 5 章 でオンライン 本 人 認 証 に 関 する 課 題 と 対 策 を 報 告 する 1 4

5 2.オンライン 本 人 認 証 の 概 要 本 章 では オンライン 本 人 認 証 の 概 念 認 証 手 段 や 方 式 オンライン 本 人 認 証 における 主 体 ま たは 関 与 者 (エンティティ)とその 役 割 を 示 すオンライン 本 人 認 証 のフレームワーク オンライ ン 本 人 認 証 における 危 険 性 など オンライン 本 人 認 証 の 概 要 を 述 べる 2.1. 認 証 と 認 証 手 段 認 証 及 び 認 証 手 段 に 必 要 となる 技 術 の 概 要 を 次 に 示 す 認 証 の 3 要 素 認 証 方 式 には 以 下 に 説 明 する 3 つの 要 素 記 憶 所 持 バイオメトリクス 情 報 があり 認 証 の 3 要 素 とも 言 われる 認 証 はこれらの 3 要 素 のどれか 又 は 複 数 の 要 素 の 組 み 合 わせで 実 現 する 記 憶 (SYK: Something You Know) 本 人 のみが 記 憶 しているデータに 基 づいて 利 用 者 を 認 証 する 方 法 であり パスワード パスフ レーズ PIN(Personal Identification Number)などがこれに 当 たる これらの 記 憶 データは 他 人 に 知 られないようにしておかなければならない 所 持 (SYH: Something You Have) 本 人 のみが 所 持 している 物 によって 利 用 者 を 認 証 する 方 法 であり IC カードやスマートカード ワンタイムパスワードのトークンなどがある これらの 所 持 物 を 他 人 に 貸 したりしてはいけない 所 持 物 は 紛 失 や 盗 難 の 危 険 性 がある 紛 失 や 盗 難 時 の 安 全 性 のためにこれらのカードを 利 用 する に 当 たっては 記 憶 要 素 (PIN)と 組 み 合 わせで 用 いることが 多 い バイオメトリクス 情 報 (SYA: Something You Are) 本 人 の 生 体 に 基 づくデータにより 利 用 者 を 認 証 する 方 法 であり 本 人 の 特 性 としての 指 紋 音 声 虹 彩 顔 の 形 などを 識 別 することによる この 方 法 は 本 人 に 結 びついたデータによるもので 記 憶 忘 れや 所 持 物 の 紛 失 などの 問 題 はない 5

6 認 証 手 段 (トークン) 認 証 手 段 については NIST が 2006 年 に 公 表 し 2013 年 8 月 に 改 版 した Electronic Authentication Guideline(NIST SP )( 以 降 NIST ガイドライン)が 参 考 となる NIST ガイドラインでは 電 子 認 証 を 電 子 的 な 手 段 によって 情 報 システムに 提 供 されるユー ザ 身 元 識 別 情 報 の 信 用 を 確 立 するプロセス と 定 義 している 本 報 告 書 におけるオンライン 本 人 認 証 と 同 義 である 2 電 子 認 証 に 用 いられる 要 素 にトークン(Token)やクレデンシャルを 定 義 し ている トークンとは 認 証 要 求 者 が 所 持 し 管 理 するもの であり 認 証 情 報 等 の 認 証 に 用 い る 情 報 を 格 納 または 出 力 するハードウエアやソフトウェア あるいは 知 識 等 の 認 証 情 報 そのもの (パスワード 等 ) 等 である 主 なトークンの 種 類 とその 特 徴 を 表 1 に 示 す 表 1 主 なトークンの 種 類 とその 特 徴 種 類 特 徴 パスワードトークン (PW トークン) ソフトウェアトークン (SW トークン) ワンタイムパスワードトー クン (OTP トークン) ハードウエアトークン (HW トークン) 利 用 者 が 記 憶 している 秘 密 情 報 のみを 利 用 して 認 証 を 行 う ハードディスクなどの 媒 体 に 暗 号 鍵 を 格 納 し この 鍵 を 利 用 して 認 証 情 報 を 出 力 す ることで 認 証 を 達 成 させる 暗 号 鍵 の 保 護 機 構 はソフトウェアにより 実 装 されるた め 柔 軟 な 運 用 が 可 能 である 一 方 で 一 般 的 にハードウエアトークンよりも 暗 号 鍵 の 複 製 に 対 する 耐 性 を 確 保 しづらい また トークンを 活 性 化 させるためにパスワード の 入 力 を 利 用 者 に 求 める 機 能 を 有 する 場 合 がある 認 証 に 使 用 する ワンタイム( 一 回 限 り) のパスワードを 生 成 する 機 能 を 有 するトー クンであり 装 置 や 紙 等 のハードウエア あるいはソフトウェアといったさまざまな 実 装 方 法 が 有 り 得 る また トークンを 活 性 化 させるためにパスワードの 入 力 を 利 用 者 に 求 める 機 能 を 有 する 場 合 がある 保 護 された 暗 号 鍵 を 備 えているハードウエアデバイス この 鍵 を 利 用 して 認 証 情 報 を 出 力 することで 認 証 を 達 成 させる 暗 号 鍵 の 保 護 機 構 はハードウエアにより 実 装 され ハードウエアトークンからは 暗 号 鍵 を 取 り 出 すことができないものとする また トークンを 活 性 化 させるためにパスワードの 入 力 を 利 用 者 に 求 める 機 能 を 有 する 場 合 がある NIST ガイドラインではトークンを 9 種 類 に 分 類 しており 複 数 の 要 素 を 用 いる 場 合 もある 表 2 に 9 種 類 のトークンの 種 類 と 定 義 を 示 す 要 素 の 種 類 は SYK(Something You Know) SYH(Something You Have) SYA(Something You Are)の 3 要 素 があり 表 内 のは 必 須 の 要 素 であり はいずれかの 要 素 を 用 いることを 示 す 2 以 降 は 特 に NIST の 文 書 を 参 考 とする 場 合 のみ 電 子 認 証 と 呼 ぶ 6

7 表 2 NIST ガイドラインにおけるトークンの 種 類 と 定 義 要 素 数 単 要 素 複 数 要 素 名 称 SYK SYH SYA 記 憶 された 秘 密 トークン (Memorized Secret Token) 事 前 登 録 知 識 トークン (Pre-registered Knowledge Token) ルックアップ 秘 密 トークン (Look-up Secret Token) 帯 域 外 トークン (Out of Band Token) 単 要 素 ワンタイムパスワードデバイス (Single-factor (SF) OTP Device) 単 要 素 暗 号 デバイス (SF Cryptographic Device) 複 数 要 素 ソフトウェア 暗 号 トークン (Multi-factor (MF) Software Cryptographic Token) 複 数 要 素 ワンタイムパスワードデバイス (MF OTP Device) 複 数 要 素 暗 号 デバイス (MF Cryptographic Device) 概 要 及 び 利 用 方 法 サービスサイトとの 間 で 共 有 する 秘 密 情 報 を 使 った 認 証 あらかじめサーバに 登 録 した 質 問 に 対 する 回 答 による 認 証 サービスサイトとの 間 で 共 有 される 秘 密 情 報 を 使 った 認 証 あらかじめ 登 録 した 携 帯 電 話 やスマートフ ォンなどに 通 知 されるワンタイムパスワード による 認 証 トークンによって 生 成 されるワンタイムパス ワードによる 認 証 暗 号 機 能 をもつハードウエアによる 認 証 TLS のクライアント 認 証 ("certificate verify"メッセージ) 利 用 するための 第 2 の 認 証 を 必 要 とする 情 報 による 認 証 ( 暗 号 機 能 を 使 うための 情 報 ) 利 用 するための 第 2 の 認 証 を 必 要 とするト ークンによって 生 成 されるワンタイムパスワ ードによる 認 証 利 用 するための 第 2 の 認 証 を 必 要 とする IC カードなどの 暗 号 機 能 をもつハードウエ アによる 認 証 認 証 方 式 表 2 に 示 した 9 種 類 のトークンについて 以 下 に 各 トークンを 用 いた 認 証 方 式 の 具 体 的 な 利 用 例 を 示 す (1) 記 憶 された 秘 密 トークンの 利 用 例 記 憶 された 秘 密 トークンの 具 体 的 な 利 用 例 としては サービス 利 用 者 が 事 前 にサービス 提 供 者 に 登 録 した ID とパスワードによって 認 証 する 方 式 がある 記 憶 された 秘 密 トークンを 用 いた 認 証 の 具 体 的 な 例 としてパスワードによるオンライン 本 人 認 証 の 概 要 を 図 1 に 示 す なお 図 1 で は インターネットサービス 提 供 者 とインターネットサービス 利 用 者 は 事 前 に 秘 密 情 報 として パスワードを 共 有 し 相 互 に 正 しい 相 手 先 であることを 確 認 していることとする 7

8 図 1 パスワードによる 認 証 認 証 要 求 者 であるインターネットサービス 利 用 者 は 検 証 者 であるインターネットサービス 提 供 者 にパスワ ードを 送 信 する なお インターネット 環 境 においてパスワードを 平 文 で 送 信 すると 盗 聴 の 危 険 性 があるた め SSL 等 の 暗 号 化 を 行 う 必 要 がある インターネットサービス 提 供 者 は 受 信 したパスワードと 事 前 に 共 有 しているパスワード( 秘 密 情 報 )との 一 致 を 検 証 する なお インターネットサービス 提 供 者 が 保 存 しているパスワードは 平 文 ではなく ハッ シュ 化 など 難 読 化 した 状 態 格 納 する 必 要 がある インターネットサービス 提 供 者 は インターネットサービス 利 用 者 に 認 証 結 果 を 送 信 する パスワード 認 証 以 外 にも サービス 提 供 者 から 受 信 したチャレンジ 値 とパスワードを 基 にした 演 算 結 果 を 送 信 することで パスワードそのものを 送 信 せずに 認 証 を 行 う 方 法 (チャレンジ/レ スポンス 方 式 )がある (2) 事 前 登 録 知 識 トークンの 利 用 例 事 前 登 録 知 識 トークンの 具 体 的 な 利 用 例 としては 秘 密 の 質 問 (ペットの 名 前 は? 母 親 の 旧 姓 は? 等 )や 複 数 の 画 像 を 表 示 し 事 前 に 登 録 していた 画 像 を 正 しく 選 択 できるかを 確 認 する 方 法 である これらはリスクに 応 じて 追 加 的 に 本 人 認 証 を 要 求 する リスクベース 認 証 に 用 いられ る 場 合 もある リスクベース 認 証 の 一 例 として 連 続 して 認 証 を 失 敗 した 場 合 に 追 加 的 に 秘 密 の 質 問 や 画 像 を 選 択 させ 連 続 試 行 回 数 の 時 間 間 隔 を 空 けることで 連 続 自 動 入 力 プログラムに よる 不 正 ログイン 攻 撃 を 防 御 するために 用 いられる (3) ルックアップ 秘 密 トークンの 利 用 例 ルックアップ 秘 密 トークンの 具 体 的 な 利 用 例 としては マトリクス 認 証 や 乱 数 表 及 び CATPTCHA 3 がある CATPTCHA は オンラインサービスの 登 録 時 及 び 利 用 時 に 歪 んだ 文 字 等 含 んだ 画 像 を 表 示 し その 文 字 を 正 しく 入 力 した 場 合 に 認 証 許 諾 する 方 式 である 当 初 は SPAM 対 策 の 一 環 として ロボットによる 不 正 なアカウント 登 録 及 びオンライン 掲 示 板 の 投 稿 などの 防 止 策 として 人 間 とロボットを 区 別 するために 用 いられていたが 現 在 では 多 要 素 認 証 の 一 種 とし て 利 用 される 場 合 もある 一 方 演 算 処 理 能 力 の 向 上 により 画 像 解 析 及 び OCR 技 術 も 向 上 した ことからロボットで 正 しい 文 字 を 読 み 取 り 入 力 し CATPTCHA をパスすることが 可 能 になって 3 CATPTCHA は Completely Automated Public Turing test to tell Computers and Humans Apart(コンピ ュータと 人 間 を 区 別 する 完 全 自 動 化 公 開 チューリングテスト)の 略 称 である 8

9 いる また 事 前 登 録 知 識 トークンと 同 様 に 連 続 して 認 証 を 失 敗 した 場 合 に リスクベース 認 証 にも 用 いられる (4) 帯 域 外 トークンの 利 用 例 帯 域 外 トークンの 具 体 的 な 利 用 例 としては 携 帯 電 話 やスマートフォンに 送 信 した 確 認 コード を 回 答 させる 方 法 がある また 事 前 登 録 知 識 トークンと 同 様 に 連 続 して 認 証 を 失 敗 した 場 合 に 携 帯 電 話 やスマートフォンに 確 認 コードを 送 り 回 答 させる 方 法 を 追 加 する リスクベース 認 証 にも 用 いられる (5) 単 要 素 / 複 数 要 素 ワンタイムパスワードの 利 用 例 ワンタイムパスワードの 具 体 的 な 利 用 例 としては 一 定 期 間 有 効 なワンタイムパスワードをデ バイス 等 に 表 示 し これをサイトへ 入 力 する 方 法 がある ワンタイムパスワードには 1ハード ウエアトークン 2ソフトウェアトークンがある 1ハードウエアトークンは カード 形 式 キ ーホルダ 形 式 USB キー 形 式 等 があり 2ソフトウェアトークンは PC アプリケーション 型 モ バイルアプリケーション 型 がある アプリケーションをインストールせずに Web ブラウザ 経 由 でワンタイムパスワードを 表 示 する 形 式 もある また ワンタイムパスワードを 生 成 する 方 式 と しては 主 に 以 下 の 3 種 類 がある 時 間 同 期 方 式 :トークンと 認 証 サーバが 保 持 している 時 刻 に 基 づいてパスワードを 生 成 す る カウンター 同 期 方 式 :トークンと 認 証 サーバが 保 持 する 内 部 カウンターの 値 に 基 づいてパ スワードを 生 成 する チャレンジレスポンス 方 式 : 認 証 サーバがチェレンジ 値 を 送 信 し トークン 側 がレスポン スを 算 出 した 値 またはレスポンス 値 に 基 づいてパスワードを 生 成 する なお 単 要 素 ワンタイムパスワードと 複 数 要 素 ワンタイムパスワードの 違 いは 複 数 要 素 では ワンタイムパスワードの 利 用 時 に PIN(Personal Identification Number) 入 力 等 によってトー クンを 活 性 化 する 点 にある 具 体 的 な 例 として 複 数 要 素 ワンタイムパスワード( 時 間 同 期 方 式 )によるオンライン 本 人 認 証 の 概 要 を 図 2 に 示 す なお この 図 では インターネットサービス 提 供 者 とインターネットサー ビス 利 用 者 は 事 前 に 秘 密 情 報 として PIN とワンタイムパスワードデバイス(インターネットサ ービス 提 供 者 はワンタイムパスワードを 生 成 するために 必 要 なシークレット)を 共 有 し 相 互 に 正 しい 相 手 先 であることを 確 認 していることとする 9

10 2OTP 送 信 3OTPを 検 証 4 認 証 結 果 送 信 インターネット サービス 利 用 者 デバイス 活 性 化 情 報 (PIN) ワンタイムパス ワードデバイス (OTP Device) 1PIN 入 力 (トークン 活 性 化 ) インターネット サービス 提 供 者 ワンタイムパス ワードの シークレット 図 2 ワンタイムパスワードによる 認 証 の 概 要 1 認 証 要 求 者 であるインターネットサービス 利 用 者 は ワンタイムパスワードデバイスに 対 して PIN を 入 力 し トークンを 活 性 化 する 2 インターネットサービス 利 用 者 は 検 証 者 であるインターネットサービス 提 供 者 にワンタイムパスワード ( 図 2 の OTP)を 送 信 する なお ワンタイムパスワードデバイスには デバイスごとに 固 有 なシークレッ トが 存 在 し このシークレットと 現 在 時 刻 からワンタイムパスワードを 生 成 する 3 インターネットサービス 提 供 者 は 事 前 に 共 有 しているシークレットと 現 在 時 刻 からワンタイムパスワード を 計 算 し 受 信 したワンタイムパスワードとの 一 致 を 検 証 する 4 インターネットサービス 提 供 者 は インターネットサービス 利 用 者 に 認 証 結 果 を 送 信 する (6) 複 数 要 素 ソフトウェア 暗 号 トークンの 利 用 例 複 数 要 素 ソフトウェア 暗 号 トークンとは ディスク 上 のファイル 等 ソフトウェア 内 に 認 証 用 の 暗 号 鍵 を 保 持 したものであり PIN 入 力 や 生 体 認 証 によるトークンの 活 性 化 が 必 要 なものであ る 例 えば TLS 4 のクライアント 認 証 では 認 証 要 求 者 であるインターネットサービス 利 用 者 は あらかじめ PIN を 入 力 してトークンを 活 性 化 し サーバから 送 られてきたチャレンジメッセージ (Hello メッセージ)からトークン 内 に 保 持 した 秘 密 鍵 を 使 用 して 署 名 値 (certificate verify)を 生 成 してインターネットサービス 提 供 者 に 送 付 する インターネットサービス 提 供 者 は 署 名 値 を 検 証 することによりインターネットサービス 利 用 者 を 認 証 する (7) 単 要 素 / 複 数 要 素 暗 号 デバイスの 利 用 例 暗 号 デバイスとは IC カードや USB トークン 等 に 認 証 用 の 暗 号 鍵 を 保 持 したものである 単 要 素 暗 号 デバイスと 複 数 要 素 暗 号 デバイスの 違 いは 複 数 要 素 では 暗 号 鍵 の 利 用 時 に PIN 入 力 等 によってトークンを 活 性 化 する 点 である 暗 号 デバイスの 利 用 例 としては TLS のクライアント 認 証 に 用 いる 場 合 があげられる ((6)と 同 様 の 流 れ) 4 TLS(Transport Layer Security)プロトコル Web ブラウザなどに 使 われる 暗 号 化 認 証 機 能 を 実 現 するプ ロトコルのひとつ 10

11 その 他 の 認 証 方 式 前 述 の 9 種 類 の 認 証 方 式 以 外 に インターネットサービスで 利 用 されている 認 証 方 式 を 説 明 す る (1) 多 段 認 証 多 要 素 認 証 複 数 の 要 素 (SYK SYH SYA)を 用 いる 認 証 方 式 を 多 要 素 認 証 というのに 対 して 同 じ 要 素 の 認 証 を 多 段 で 実 施 する 認 証 方 式 を 多 段 認 証 や 多 段 階 認 証 という 例 えば 複 数 のパ スワード( 記 憶 された 秘 密 トークン)を 用 いる 認 証 方 法 がある 後 述 する 金 融 分 野 では 第 一 暗 証 番 号 第 二 暗 証 番 号 を 設 定 することで 本 人 認 証 と 取 引 を 行 う 際 の 認 証 ( 取 引 認 証 と 呼 ばれる) の 二 段 階 の 認 証 を 実 施 している (2) リスクベース 認 証 インターネットサービスの 一 部 では リスクベース 認 証 が 導 入 されている リスクベース 認 証 とは 通 常 とは 異 なる 環 境 ( 例 えば 普 段 とは 異 なる IP アドレスや ISP 及 び OS や Web ブラウ ザ 等 )からの 認 証 要 求 があった 場 合 に 追 加 的 に 認 証 する 方 式 である 追 加 する 認 証 には 秘 密 の 質 問 と 対 応 する 答 えを 確 認 する( 前 述 の(2) 事 前 登 録 知 識 トークンや(3)ルックアップ 秘 密 トーク ン) 登 録 しているスマートフォンに 送 信 した 認 証 コードを 確 認 する( 前 述 の(4) 帯 域 外 トークン) 等 がある 通 常 と 同 じ 環 境 からの 認 証 要 求 には 追 加 的 な 本 人 認 証 を 行 わず 通 常 と 異 なる 環 境 からの 認 証 要 求 には 追 加 的 に 本 人 認 証 を 行 うことから 一 定 の 利 便 性 を 保 ちつつ 異 なる 環 境 からの 不 正 ア クセスに 対 して 認 証 を 高 めることができる 一 方 正 規 なインターネットサービス 利 用 者 が 異 な る 環 境 から 認 証 要 求 を 行 う 場 合 ( 例 えば 急 な 海 外 出 張 先 でスマートフォンの 送 信 された 認 証 コ ードが 受 信 できない 等 )には 使 い 慣 れていないと 追 加 的 に 確 認 する 認 証 情 報 を 忘 れ 認 証 がで きず サービスを 利 用 できないこともある さらに 通 常 の 環 境 と 通 常 ではない 環 境 等 の 区 別 が 難 しい 場 合 も 存 在 する アイデンティティ 管 理 インターネットサービス 利 用 者 は 特 定 の 企 業 や 団 体 に 所 属 する 属 性 アイデンティティや 個 人 としての 属 性 アイデンティティなど 様 々な 属 性 アイデンティティを 持 つ そのため オン ライン 本 人 認 証 は これらのアイデンティティを 確 認 するプロセスともいえる これらの 認 証 に おけるライフサイクルやステータスの 遷 移 を 示 した 文 献 は 少 ないが アイデンティティ 管 理 技 術 5では 認 証 情 報 を 含 むアイデンティティ 管 理 の 一 般 的 なライフサイクルが 示 されている( 図 3 を 参 照 ) アイデンティティ 管 理 の 一 般 的 なライフサイクルでは 登 録 活 性 更 新 休 止 抹 消 がある これらの 中 で 活 性 と 更 新 は アイデンティティが 利 用 可 能 な 有 効 状 態 (Active)での 実 施 が 必 要 とされる 5 アイデンティティ 管 理 技 術 解 説 独 立 行 政 法 人 情 報 処 理 推 進 機 構 セキュリティセンター 2013 年 1 月 11

12 図 3 ID 管 理 ライフサイクルモデル アイデンティティ 管 理 の 一 般 的 なライフサイクルのプロセスと 内 容 を 表 3 に 示 す なお アイ デンティティ 情 報 を 利 用 できるようなライフサイクルである 登 録 更 新 休 止 抹 消 等 の 一 連 のプロセスはプロピジョニングとも 呼 ばれる 表 3 ID 管 理 ライフサイクルのプロセスと 定 義 プロセス 内 容 登 録 アイデンティティ 情 報 及 び 認 証 情 報 の 登 録 を 希 望 するエンティティに 対 し 身 元 確 認 や 本 人 確 認 を 行 い 情 報 管 理 者 による 審 査 等 を 経 て エンティティを 特 定 する 識 別 子 の 生 成 した 上 でアイデンティティ 情 報 及 び 認 証 情 報 を 利 用 前 に 登 録 する 有 効 状 態 登 録 されたアイデンティティ 情 報 及 び 認 証 情 報 を 活 性 化 (Activate)し 利 用 可 能 な ( 活 性 ) 有 効 状 態 にする 有 効 状 態 において 各 エンティティは アイデンティティ 情 報 及 び 認 証 情 報 を 用 いて 認 証 を 行 うことが 可 能 となる 例 えば サービスの 提 供 者 は 認 証 を 行 い 識 別 子 の 正 当 性 を 確 認 し 識 別 子 に 紐 づいた 属 性 情 報 等 の 認 証 情 報 をもとに 提 供 す るサービスレベルやアクセス 制 御 等 を 行 った 上 で 特 定 のサービスを 提 供 ( 認 可 )する 更 新 登 録 済 みの 活 性 状 態 にあるアイデンティティ 情 報 及 び 認 証 情 報 に 含 まれる 属 性 情 報 は エンティティあるいは 情 報 管 理 者 (サービス 提 供 者 )の 意 向 や 状 況 によって 更 新 され る 例 えば 特 定 サービスの 一 般 会 員 から 特 別 会 員 (プレミアム 会 員 等 )への 登 録 情 報 の 変 更 も 含 まれる 休 止 抹 消 エンティティや 情 報 管 理 者 (サービス 提 供 者 )の 意 向 や 状 況 によって アイデンティティ 情 報 及 び 認 証 情 報 を 休 止 の 状 態 や 抹 消 する 例 えば 特 定 サービスの 利 用 期 間 が 切 れた 利 用 者 のアイデンティティ 情 報 や 及 び 認 証 情 報 を 一 時 的 に 利 用 できない 休 止 の 状 態 にし 利 用 期 間 を 延 長 する 場 合 には 休 止 を 解 除 利 用 期 間 を 延 長 しない 場 合 には 抹 消 する インターネットサービスでは 表 3 で 示 したアイデンティティ 管 理 の 各 プロセスの 中 の 更 新 休 止 が 短 期 的 に 繰 り 返 される 可 能 性 がある 例 えば 更 新 は ID パスワードによる 本 人 認 証 ではパスワードの 定 期 的 な 更 新 が 求 められるため 属 性 情 報 の 更 新 と 比 較 し 頻 繁 に 更 新 が 実 施 されることも 考 えられる また 休 止 は 認 証 要 求 において 連 続 失 敗 が 一 定 回 数 にな った 場 合 また 短 時 間 に 認 証 試 行 を 繰 り 返 す 場 合 及 び 通 常 とは 異 なる 環 境 (IP アドレス 等 )か らの 認 証 試 行 を 繰 り 返 す 場 合 等 の 不 正 ログイン 攻 撃 と 考 えられる 際 に 数 分 から1 日 程 度 といっ た 比 較 的 短 期 間 のアカウントロック(アカウントの 休 止 )を 対 策 技 術 として 導 入 しているサービ スも 存 在 する 12

13 電 子 認 証 のアーキテクチャモデル 認 証 手 段 (トークン) 認 証 方 式 その 他 認 証 方 式 アイ デンティティ 管 理 で 記 述 した 内 容 の 位 置 づけを NIST ガイドラインにおける 電 子 認 証 のアー キテクチャモデル( 図 4)を 用 いて 説 明 する また 図 中 の 用 語 説 明 を 表 4 に 示 す 図 4 NIST の 電 子 認 証 のアーキテクチャモデル 表 4 NIST の 電 子 認 証 のアーキテクチャモデルの 用 語 定 義 用 語 定 義 アサーション 検 証 者 から その 検 証 者 に 依 拠 する 当 事 者 に 対 して 送 られる 加 入 者 に (Assertion) 関 する 身 元 識 別 情 報 を 収 めた 表 明 アサーションには 検 証 済 みの 属 性 が 含 まれることがある アサーションは ディジタル 署 名 されたオブジェクトであ ったり セキュアなプロトコルを 通 じて 信 頼 できる 情 報 源 から 取 得 できたりす る 認 証 要 求 者 (Claimant) 認 証 プロトコルを 使 用 して 身 元 を 証 明 する 当 事 者 クレデンシャル 身 元 識 別 情 報 (および 場 合 によってはそのほかの 属 性 )と 特 定 の 人 物 が (Credential) 所 持 し 管 理 しているトークンとを 公 的 に 結 び 付 けるオブジェクト クレデンシャルサービスプロ 加 入 者 トークンの 発 行 または 登 録 を 行 い 電 子 的 クレデンシャルを 加 入 者 バイダ に 発 行 する 信 頼 のおける 機 関 CSP が 登 録 機 関 と 登 録 機 関 が 運 営 (Credentials Service する 検 証 者 を 兼 務 することがある CSP は 独 立 の 第 三 者 機 関 である 場 Provider CSP) 合 がある また 独 自 に 使 用 するクレデンシャルを 発 行 する 場 合 がある 加 入 者 (Subscriber) CSP からクレデンシャルまたはトークンを 受 け 取 り 認 証 プロトコルにおいて 認 証 要 求 者 となる 人 物 トークン(Token) 認 証 要 求 者 が 所 持 し 管 理 しているなんらかの 情 報 ( 通 常 は 鍵 またはパスワ 身 元 識 別 情 報 (Identity) 登 録 機 関 (Registration Authority RA) 検 証 結 果 の 利 用 者 (Relying party) 検 証 者 (Verifier) ード) 認 証 要 求 者 の 身 元 識 別 情 報 の 認 証 に 使 用 される 個 人 のユニークな 名 前 個 人 の 法 的 な 名 前 は 必 ずしも 一 意 とは 限 らないた め 個 人 の 身 元 識 別 情 報 には 名 前 全 体 が 一 意 となるように 十 分 な 補 足 情 報 (たとえば 住 所 あるいは 従 業 員 番 号 や 口 座 番 号 といったユニークな 識 別 子 など)を 含 める 必 要 がある CSP に 対 し 加 入 者 の 身 元 を 証 明 し その 保 証 を 行 う 信 頼 のおける 機 関 RA は CSP の 一 部 である 場 合 がある または CSP から 独 立 しているもの の 1 つ 以 上 の CSP と 連 携 することもある 通 常 トランザクションの 処 理 や 情 報 またはシステムへのアクセス 許 可 の 付 与 を 目 的 として 加 入 者 のクレデンシャルを 利 用 するエンティティ 認 証 要 求 者 がトークンを 所 持 していることを 認 証 プロトコルを 使 用 して 確 認 することにより 認 証 要 求 者 の 身 元 識 別 情 報 を 検 証 するエンティティ この 目 的 のために 検 証 者 はトークンと 身 元 識 別 情 報 を 結 び 付 けるクレデンシャ ルの 有 効 性 を 検 証 し それらの 状 態 を 確 認 しなければならないこともある 13

14 図 4 の 右 側 は 利 用 者 がインターネットサービス 提 供 者 のサービスを 利 用 する 為 に 電 子 認 証 を 実 施 する 場 合 を 示 している 加 入 者 / 認 証 要 求 者 (Subscriber/Claimant) はインターネッ トサービス 利 用 者 であり 検 証 結 果 の 利 用 者 (Relying Party) 及 び 検 証 者 (Verifier) が イ ンターネットサービスとなる なお 以 下 で 示 すとおり 加 入 者 は 認 証 を 要 求 する 場 面 において 認 証 要 求 者 となる 以 下 に 図 右 のプロセスを 説 明 する 1. 認 証 要 求 者 は 認 証 プロトコルを 用 いて 認 証 要 求 者 がトークンを 所 持 管 理 している ことを 検 証 者 に 証 明 する 2. 検 証 者 は 加 入 者 のアイデンティティをトークンに 結 び 付 けるクレデンシャルを 検 証 するために CSP と 対 話 する 3. 検 証 者 と RP が 独 立 している 場 合 検 証 者 はアクセス コントロールまたは 認 可 を 決 定 するために RP に 対 して 加 入 者 ( 認 証 要 求 者 )のアサーションを 提 供 する 4. 加 入 者 と RP の 間 で 認 証 されたセッションを 確 立 する 上 記 1. のプロセスで 使 用 するトークンは 認 証 手 段 (トークン) で 記 述 したトーク ンであり トークンの 所 持 管 理 を 証 明 する 方 式 は 認 証 方 式 や その 他 認 証 方 式 で 記 述 した 認 証 方 式 である 図 4 の 左 側 は 利 用 者 のアイデンティティの 登 録 発 行 メンテナンスのフェーズを 示 してい る つまり アイデンティティ 管 理 で 記 述 した ID のライフサイクルは 加 入 者 (Subscriber)と 登 録 機 関 (RA)/CSP(Credentials Service Provider)との 間 で 実 施 される 各 処 理 を 示 す 以 下 に 図 左 のプロセスを 説 明 する 1. 個 々の 認 証 申 請 者 は RA に 対 して 登 録 プロセスを 通 じてユーザ 登 録 とアイデンティ ティ 確 認 を 申 請 する 2. RA は 認 証 申 請 者 のアイデンティティ 確 認 を 行 う 3. アイデンティティ 確 認 が 成 功 した 場 合 RA は CSP に 対 して 新 たな 加 入 者 ( 認 証 要 求 者 )の 登 録 確 認 を 行 う 4. 加 入 者 と CSP の 間 でトークンとトークンに 対 応 するクレデンシャルを 確 立 する 5. CSP は 少 なくとも 加 入 者 の 資 格 クレデンシャルとそのステータス 及 び 有 効 期 限 等 を 登 録 データして 所 持 する また 加 入 者 は 自 らのトークンを 所 持 する RA と CSP の 最 も 単 純 で 一 般 的 な 実 施 形 態 は RA と CSP は 個 別 の 機 能 として 同 じエンティテ ィに 存 在 する 一 方 電 子 認 証 のアーキテクチャでは RA は 複 数 の 独 立 した CSP と 関 係 を 有 す る 場 合 もある 同 様 に CSP は 独 立 した 複 数 の RA と 関 係 を 有 する 場 合 もある 以 上 のように 認 証 のフレームワークについては 認 証 を 求 めるエンティティの 属 性 や 資 格 等 の 確 認 において 関 連 する 各 エンティティの 責 任 分 担 や 信 頼 が 重 要 である 14

15 2.2. オンライン 認 証 のフレームワーク 認 証 フレームワークの 基 本 概 念 ここでは 本 報 告 書 で 扱 う 認 証 における 主 体 または 関 与 者 (エンティティ)とその 役 割 を 示 す フレームワークを 説 明 する 認 証 のためには まず 識 別 が 必 要 であり 識 別 した 個 人 に 対 して 認 証 を 行 う 広 義 の 意 味 では 識 別 認 証 認 可 を 含 んで 認 証 と 呼 ばれることもある また インターネット 環 境 におけるオンライン 本 人 認 証 では 認 証 者 と 認 可 者 が 同 一 な 場 合 も 多 い 基 本 概 念 を 以 下 に 示 す 識 別 (Identification): Who Are You? 特 定 の 個 人 を 見 分 けること 認 証 (Authentication):Is it really you? 識 別 された 個 人 が 正 当 であることを 確 認 すること 認 可 (Authorization):Are you authorized to access this resource 認 証 された 個 人 に 対 してサ ービスを 提 供 するかどうかを 決 定 すること 認 証 では 識 別 された 個 人 の 属 性 ( 役 割 や 権 限 等 )に 基 づき 本 人 または 本 人 性 を 確 認 する ことが 求 められる 多 くのインターネットオンラインサービス 等 では 個 人 に 対 して 認 可 を 行 う サービス 提 供 者 が 個 人 を 識 別 し かつ 認 証 を 付 与 するが 認 証 と 認 可 は 別 のエンティティが 実 施 することも 可 能 である 例 えば 異 なる 個 人 の ID を 連 携 する ID 連 携 の 技 術 仕 様 である SAML (Security Assertion Markup Language)では 認 証 オーソリティ 属 性 オーソリティ 認 可 決 定 オーソリティと 機 能 別 ににそれぞれが 定 義 されている またインターネットにおける 共 通 の ID 情 報 を 利 用 できる OpenID では 認 証 サービス( 認 証 し 検 証 する)を 提 供 する OP(OpenID Provider)と 認 証 サービスを 利 用 してサービスを 提 供 する RP(Relying Party)が 定 義 されてい る 認 証 フレームワークの 例 (ID 連 携 / 認 証 連 携 ) システム 間 やサービス 間 の 認 証 連 携 や ID 連 携 により 多 様 なサービスを 提 供 する 例 がみられる これらに 対 応 する 認 証 フレームワーク 関 連 の 技 術 として SAML や OpenID がある SAML( 最 新 は SAML2.0)は サービス 間 でのセキュリティ アサーションの 交 換 に 関 する フレームワークを 定 めている セキュリティ アサーションを 利 用 することで 各 種 Web サー ビス 間 で 認 証 / 属 性 / 認 可 決 定 に 関 する 情 報 交 換 が 実 現 でき 一 度 の 認 証 で 複 数 の Web サービ スが 利 用 できる SSO を 実 現 する OpenID( 厳 密 には 認 証 技 術 に OpenID Connect 認 可 技 術 に OAuth2.0)は Web ブラウザを 用 いて 異 なる Web サイト 間 で 属 性 情 報 の 要 求 提 供 と 認 証 結 果 に 関 するプロトコルを 定 めている これは 2 つの Web サイト 間 における Web ブラウザを 用 いたアイデンティティ 情 報 (エンティティの 認 証 結 果 と 属 性 情 報 )の 要 求 と 応 答 を 行 うためのプ ロトコルとして 策 定 された SAML は アイデンティティ 連 携 で 必 要 な 要 素 を 包 括 的 にカバーし たフレームワークを 提 供 し アイデンティティ 連 携 においては Web サイトが 属 するドメイン 間 の 信 頼 関 係 を 事 前 に 確 立 することが 前 提 となる 一 方 OpenID は Web サービスに 特 化 したプ 15

16 ロトコルを 提 供 し Web サイト 間 はユーザの 意 図 にしたがって 動 的 に 信 頼 関 係 を 確 立 する SAML と OpenID の 概 要 を 図 5 に 示 す 図 5 SAML と OpenID の 概 要 16

17 2.3. オンライン 本 人 認 証 における 危 険 性 オンライン 本 人 認 証 における 具 体 的 な 危 険 性 を 多 く 利 用 されている ID パスワードによる 認 証 を 対 象 とした 攻 撃 と 認 証 プロセス 等 への 攻 撃 について 述 べる パスワードに 対 する 攻 撃 パスワード 認 証 は 実 装 が 容 易 であり 特 別 な 知 識 や 専 用 機 器 やデバイスも 必 要 ないためサービ スサイトは 導 入 し 易 く 利 用 者 にも 受 け 入 れられ 易 い 一 方 パスワード 認 証 の 強 度 はパスワー ドの 強 度 に 依 存 し 事 前 に 設 定 共 有 したパスワードが 推 測 されにくいこと 等 を 考 慮 する 必 要 が ある 以 下 に パスワードに 対 する 主 な 攻 撃 を 示 す 主 な 脅 威 総 当 たり 攻 撃 (ブルートフォース 攻 撃 ) 逆 総 当 たり 攻 撃 (リバースブルート フォース 攻 撃 ) 類 推 攻 撃 辞 書 攻 撃 事 前 計 算 攻 撃 (オフライン) 表 5 パスワードに 対 する 主 な 攻 撃 説 明 すべてのパスワードの 組 み 合 わせを 試 行 する 攻 撃 である 非 常 に 多 くの 組 み 合 わせがあ るため 効 率 的 ではないが 数 字 4 文 字 等 のパスワード 長 が 非 常 に 短 い 場 合 には 有 効 で ある また 総 当 たりする 順 番 を 工 夫 し 短 いパスワード 小 文 字 だけのパスワード 大 文 字 が 含 まれるパスワード 長 いパスワードといった 順 で 攻 撃 することもある パスワードを 固 定 し ID を 変 えて 攻 撃 を 試 みる 手 口 サービスサイト 側 では ID に 対 して 複 数 のパスワードを 試 行 しないため パスワードの 複 数 回 ロック 規 制 などは 効 果 がない 利 用 者 の 個 人 情 報 ( 例 えば ユーザ 名 /ログイン 名 恋 人 / 友 人 / 身 内 /ペットの 名 前 自 分 / 友 人 / 身 内 の 出 身 地 や 誕 生 日 車 のナンバープレート 携 帯 電 話 の 番 号 会 社 の 電 話 番 号 住 所 お 気 に 入 りの 有 名 人 の 情 報 等 )からパスワードを 類 推 する 攻 撃 である パスワードとして 使 われていそうな 文 字 列 を 数 多 く 収 録 したリスト( 辞 書 )を 用 意 して それ らを 試 行 する 攻 撃 である パスワードファイルを 盗 み パスワード 辞 書 の 文 字 列 をハッシュ 化 して 試 行 する 攻 撃 であ る ハッシュ 値 のテーブルを 効 率 的 に 管 理 するレインボーテーブルを 使 ったレインボー 攻 撃 も 知 られている 認 証 プロセス 等 への 攻 撃 オンライン 本 人 認 証 とは インターネット 等 を 用 いたオンライン 環 境 で 本 人 認 証 を 実 施 するこ とである すでに 述 べたように 本 人 確 認 は 認 証 を 要 求 する 認 証 要 求 者 と 認 証 情 報 を 発 行 する 認 証 発 行 者 間 (または 認 証 を 提 供 する 者 )で 正 しい 本 人 であることを 確 認 する 認 証 発 行 者 は 認 証 要 求 者 本 人 を 確 認 した 後 に 認 証 情 報 を 発 行 する 認 証 情 報 の 発 行 については 認 証 要 求 者 本 人 以 外 に 知 られることなく 正 しい 認 証 要 求 者 のみに 発 行 されなければならない 認 証 要 求 者 は 認 証 発 行 者 から 得 た 認 証 情 報 を 他 者 に 知 られることなく 安 全 に 保 管 し 認 証 を 必 要 とする 場 合 に 認 証 情 報 を 他 者 に 知 られることなく 認 証 検 証 者 (インターネットサービスの 場 合 はインターネッ トサービス 提 供 者 等 )に 示 すことで 本 人 認 証 が 正 しく 行 われる 表 6 に 主 なオンライン 本 人 認 証 のプロセスに 関 する 脅 威 を 示 す 6 6 各 府 省 情 報 化 統 括 責 任 者 (CIO) 連 絡 会 議 決 定 の オンライン 手 続 におけるリスク 評 価 及 び 電 子 署 名 認 証 ガイ ドライン( 以 下 電 子 署 名 認 証 ガイドライン) を 参 考 とした 17

18 表 6 認 証 プロセス 等 における 脅 威 例 脅 威 説 明 オンライン 上 での 攻 撃 者 が 繰 り 返 しログインを 試 行 するなどして 認 証 情 報 (パスワード 等 )を 推 測 す 推 測 る オフライン 分 析 トークン( 認 証 情 報 等 )が 不 正 に 解 析 される 7 ネットワークに 接 続 されたコンピュータに 過 剰 な 負 荷 をかけて サービスの 提 供 を 不 DoS 攻 撃 能 に 陥 れる 攻 撃 を 行 う 標 的 に 対 して 複 数 のコンピュータ 等 を 利 用 して DoS 攻 撃 を 行 うこと 攻 撃 元 のコン 8 DDoS 攻 撃 ピュータは 攻 撃 者 自 身 のものとは 限 らず ウイルスへの 感 染 により 意 図 せず 攻 撃 者 のコンピュータとなる 場 合 もある フィッシング 利 用 者 を 欺 いて 不 正 なサイトに 誘 い 出 し 情 報 を 不 正 に 取 得 する ファーミング 利 用 者 を 強 制 的 に 不 正 なサイトにアクセスさせ 情 報 を 不 正 に 取 得 する 盗 聴 通 信 を 盗 聴 し 情 報 を 不 正 に 取 得 する リプレイ 攻 撃 認 証 に 関 する 通 信 を 盗 聴 し 同 じ 内 容 を 再 度 送 信 してなりすましを 行 う セッション ハイジ 認 証 プロトコルが 完 了 した 後 に 利 用 者 とサービス 提 供 者 の 接 続 を 奪 うことによっ ャック て 正 当 な 利 用 者 に 代 わってサービスを 利 用 する 9 10 利 用 者 とサービス 提 供 者 の 通 信 を 中 継 する 形 で 横 取 りし 改 ざん 等 の 不 正 を 行 な 中 間 者 攻 撃 う オンライン 手 続 におけるリスク 評 価 及 び 電 子 署 名 認 証 ガイドラインを 基 に IPA が 作 成 7 Denial of Service: 分 散 サービス 妨 害 8 Distributed Denial of Service: 分 散 サービス 妨 害 9 これらの 脆 弱 性 への 対 策 については 安 全 なウェブサイトの 作 り 方 知 っていますか? 脆 弱 性 等 を 参 照 Man-in-the-Middle attack MitM 18

19 3.オンライン 本 人 認 証 に 関 連 したインシデント 状 況 本 章 では 特 に 近 年 多 発 している 主 な 攻 撃 として 3.1 にパスワードリスト 攻 撃 と 被 害 を 3.2 に ウイルスによる 不 正 送 金 の 被 害 を 公 開 された 情 報 により 紹 介 する 3.3 には 主 にパスワード リスト 攻 撃 に 遭 遇 した 企 業 やその 企 業 に 関 連 する 団 体 へのインタビュー 調 査 の 結 果 について 述 べる 3.1. パスワードリスト 攻 撃 インシデントの 中 でもインターネットサービスサイトに 対 するパスワードリスト 攻 撃 の 事 案 が 多 発 している 11 パスワードリスト 攻 撃 とは 悪 意 のある 者 が 何 らかの 方 法 で 事 前 に 入 手 し た ID とパスワードのリストを 流 用 し 自 動 的 に 連 続 入 力 するプログラム 等 を 用 いてそれら ID と パスワードを 入 力 することで インターネットサービスサイトにログインを 試 みる 攻 撃 である( 図 6) 複 数 のインターネットサービスにおいてインターネットサービス 利 用 者 が ID とパスワー ドを 同 一 のものを 使 用 している 場 合 その 中 のいずれかのインターネットサービスで 利 用 してい る 認 証 情 報 (アカウント 情 報 )が 漏 えいすると 悪 意 ある 者 が 他 のインターネットサービスで 同 じ ID とパスワードを 用 いて インターネットサービス 利 用 者 X になりすましてログインするこ とが 可 能 となる 図 6 利 用 者 の 観 点 から 見 たパスワードリスト 攻 撃 による 被 害 のイメージ 図 11 IPA では 2013 年 8 月 の 呼 びかけ 全 てのインターネットサービスで 異 なるパスワードを! によってイン ターネットのサービス 利 用 者 に 注 意 喚 起 を 行 った なお パスワードリスト 攻 撃 には リスト 型 アカウント 攻 撃 連 続 自 動 入 力 プログラムによる 攻 撃 など 複 数 の 呼 称 がある 19

20 被 害 件 数 と 事 例 国 家 公 安 委 員 会 総 務 大 臣 経 済 産 業 大 臣 が 公 表 している 不 正 アクセス 行 為 の 発 生 状 況 及 び アクセス 制 御 機 能 に 関 する 技 術 の 研 究 開 発 の 状 況 ( 平 成 26 年 3 月 26 日 ) 12 ( 以 降 不 正 アクセ ス 等 の 状 況 報 告 書 )では 一 般 的 な 不 正 アクセス 行 為 の 認 知 件 数 とともに 事 業 者 から 得 た 連 続 自 動 入 力 プログラムによる 不 正 ログイン 攻 撃 ( 本 報 告 書 におけるパスワードリスト 攻 撃 と 同 同 義 )の 件 数 を 報 告 している 平 成 24 年 度 から 本 攻 撃 の 件 数 が 報 告 されているが 攻 撃 件 数 は 表 7 に 示 すように 平 成 25 年 は 平 成 24 年 と 比 べ 約 7 倍 増 加 した 表 7 不 正 アクセス 行 為 の 認 知 件 数 等 認 知 件 数 / 届 出 件 数 平 成 24 年 平 成 25 年 不 正 アクセス 行 為 の 認 知 件 数 1,251 2,951 1 連 続 自 動 入 力 プログラムによる 攻 撃 不 正 アクセス 等 の 状 況 報 告 書 を 基 に IPA が 作 成 114,013 約 800,000 1: 不 正 ログイン 攻 撃 については ID パスワードの 正 規 利 用 権 者 に 対 する 被 害 の 確 認 を 行 っていな いことから 認 知 件 数 が 不 正 アクセス 行 為 の 事 実 を 確 認 することができた 場 合 とはいえない 検 挙 した 不 正 アクセス 禁 止 法 違 反 に 係 る 犯 行 の 手 口 についても インターネットサービス 利 用 者 のパスワードの 設 定 や 管 理 の 甘 さにつけ 込 んだものが 平 成 25 年 に 急 増 している 不 正 ア クセス 等 状 況 報 告 書 における 不 正 アクセス 行 為 に 係 る 犯 行 の 手 口 の 内 訳 を 表 8 に 示 す 表 8 不 正 アクセス 行 為 に 係 る 犯 行 の 手 口 の 内 訳 手 口 分 類 平 成 24 年 平 成 25 年 利 用 権 者 のパスワードの 設 定 管 理 の 甘 さにつけ 込 んだもの % % 言 葉 巧 みに 利 用 権 者 から 聞 き 出 した 又 はのぞき 見 たもの % % 識 別 符 号 を 知 り 得 る 立 場 にあった 元 従 業 員 や 知 人 等 によるもの % % 共 犯 者 等 から 入 手 したもの % % スパイウェア 等 のプログラムを 使 用 して 識 別 符 号 を 入 手 したもの % % フィッシングサイトにより 入 手 したもの % 9 0.9% 他 人 から 購 入 したもの 0 0.0% 7 0.7% その 他 % 2 0.2% 合 計 % % 2013 年 に 発 生 したパスワードリスト 攻 撃 20 件 の 事 例 について 公 開 情 報 を 基 に 整 理 した 内 容 を 表 9 に 示 す 公 表 されている 不 正 ログインの 試 行 件 数 (A)と 不 正 ログインの 成 立 件 数 (B)か ら 不 正 ログイン 成 功 率 (B/A)を 算 出 してみると 不 正 ログイン 成 功 率 の 高 低 は 試 行 回 数 とは 関 係 なく 低 い 事 例 で 0.1% 程 度 高 い 事 例 では 2.5% 程 度 である

21 表 9 主 なインシデント 事 例 と 発 生 時 期 被 害 企 業 不 正 アクセス 期 間 不 正 ログインの 試 不 正 ログインの 成 不 正 ログイン 成 立 行 件 数 (A) 立 件 数 (B) 率 (B/A) T サイト 3 月 26 日 月 15 日 27 - MyJR-EAST 3 月 31 日 約 26, % goo 4 月 1 日 ~4 月 9 日 - 108,716 - ebookjapan 4 月 2 日 ~4 月 5 日 2, フレッツ 光 メンバーズクラブ 4 月 4 日 約 20, % 4 月 9 日 ~4 月 10 日 約 24, % mopita 4 月 18 日 ~4 月 19 日 - 5,450 - dinos 5 月 4 日 ~5 月 8 日 約 1,110,000 約 15, % ワタシプラス 5 月 6 日 ~5 月 12 日 約 240, % 三 越 オンラインショッピング 5 月 6 日 ~5 月 23 日 5,202,002 8, % 阪 急 オンラインショッピング 不 明 ~5 月 13 日 - 2,382 - ハピネットオンライン 4 月 24 日 ~5 月 31 日 - 最 大 16,808 - じゃらん net 2 月 14 日 ~2 月 16 日 6 月 3~6 月 15 約 1,100,000 27, % ニッセンオンラインショッピングサイト 6 月 18 日 11, % クラブニンテンドー 6 月 9 日 ~7 月 4 日 15,457,485 23, % KONAMI ID ポータル 6 月 13 日 ~7 月 7 日 3,945,927 35, % 楽 天 市 場 不 明 ~7 月 8 日 月 14 日 ~7 月 16 日 - 21,184 - Gree 7 月 25 日 ~8 月 5 日 7,748,633 39, % Ameba 4 月 6 日 ~8 月 3 日 - 243,266 8 月 3 日 ~8 月 13 日 不 正 ログイン 成 立 率 は 企 業 が 公 表 した 数 値 (A および B)を 基 に 算 出 パスワードリスト 攻 撃 は 以 下 に 述 べる 3 つの 特 徴 をもつ まず (パスワードリスト 攻 撃 によ って) 攻 撃 者 が 不 正 にログインできた 場 合 サービス 提 供 者 は 当 事 者 しか 知 り 得 ない 情 報 によっ て 認 証 された 正 規 の 利 用 者 とみえる このため サービス 提 供 者 自 身 による 被 害 の 発 見 は 容 易 で はない 一 方 正 規 の 利 用 者 は 攻 撃 者 によってサービスの 不 正 利 用 や 他 の 情 報 を 搾 取 されること となり サービス 提 供 者 は 正 規 のサービス 利 用 者 ではない 攻 撃 者 に 対 してサービスを 提 供 する こととなり サービス 提 供 者 と 利 用 者 の 双 方 にとって 不 利 益 や 被 害 が 発 生 する 次 に サービス 提 供 者 にとって 情 報 を 不 正 に 入 手 されたサービスサイトとして 風 評 被 害 の 懸 念 がある また 対 策 を 公 開 することによってさらに 攻 撃 手 法 が 高 度 化 することも 推 測 できること から 一 部 のガイドラインは 具 体 的 な 対 策 手 段 が 公 開 されることが 少 ない 傾 向 にある さらに 対 策 については 一 部 の 業 界 や 分 野 を 除 き 各 々の 企 業 が 独 自 に 検 討 し 実 施 している 状 況 である そのほかの 特 徴 として 総 務 省 の パスワードリスト 攻 撃 による 不 正 ログインへの 対 応 方 策 に ついて において リスト 型 攻 撃 による 被 害 の 特 徴 が 表 10 のようにまとめられている 21

22 表 10 リスト 型 攻 撃 による 被 害 の 特 徴 ( 総 務 省 による) ある 程 度 の 期 間 にわたって 攻 撃 が 行 われているものがあり 攻 撃 が 検 知 されるまでに 時 間 を 要 するものがあること 数 万 単 位 での 不 正 ログインが 検 出 されていること 利 用 者 からのログインができないといった 通 報 大 量 のアクセスエラーの 発 生 特 定 の IP アドレ スからの 不 正 なログインの 検 知 社 内 の 調 査 によって 攻 撃 が 検 知 されていること 氏 名 性 別 生 年 月 日 住 所 などの 個 人 情 報 が 閲 覧 されている 可 能 性 があること なお 本 調 査 では 表 9 に 示 したパスワードリスト 攻 撃 事 例 で 被 害 のあった 企 業 及 び 関 連 団 体 を 含 む 10 社 / 団 体 に 対 してインタビュー 調 査 を 実 施 した(3.3 を 参 照 ) 政 府 業 界 団 体 による 対 策 の 呼 びかけ 本 節 では パスワードリスト 攻 撃 に 関 する 対 策 検 討 の 状 況 について 特 定 業 界 団 体 における 技 術 的 対 策 の 検 討 動 向 政 府 による 対 策 の 呼 びかけの 内 容 について 述 べる (1) 業 界 団 体 における 技 術 的 対 策 オンライン 本 人 認 証 については 各 業 界 団 体 等 において 技 術 面 及 び 運 用 面 での 対 策 をガイドラ イン 等 で 推 進 している 以 下 に 金 融 分 野 及 びオンラインゲーム 分 野 の 対 策 を 紹 介 する 1 金 融 分 野 金 融 分 野 においては 金 融 情 報 システムセンター(FISC:Center for Financial Industry Information Systems)の 安 全 対 策 基 準 第 8 版 追 補 及 び 一 般 財 団 法 人 全 国 銀 行 協 会 の イ ンターネット バンキングに 係 る 預 金 等 の 不 正 な 払 戻 しへの 対 策 について でパスワードリスト 攻 撃 対 策 に 関 する 記 述 が 存 在 する 安 全 対 策 基 準 第 8 版 追 補 13 では ( 技 35)にて 以 下 の 通 りオンライン 本 人 認 証 を 用 いた 技 術 的 対 策 が 記 されている 利 用 時 には ID パスワード 以 外 の 認 証 が 必 要 であり ID パスワードの 以 外 の 認 証 方 式 を 提 供 する 場 合 でも 携 帯 電 話 利 用 する 認 証 方 式 ( 例 えば 携 帯 電 話 番 号 を 登 録 させ SMS(ショートメッセージ) 等 によって 任 意 の 認 証 コ ードやワンタイムパスワードを 送 信 し それを 入 力 させて 確 認 する 認 証 方 法 )では ID パスワ ードが 漏 えいした 場 合 も 想 定 し 異 なる 認 証 を 行 った 後 に 登 録 することが 推 奨 されている 表 11 安 全 対 策 基 準 第 8 版 追 補 における 本 人 認 証 の 記 述 個 人 顧 客 を 対 象 とするインターネット バンキングにおいては ログイン 時 と 重 要 取 引 時 の 少 なくともどちら か 一 方 で 固 定 式 の ID パスワードのみに 頼 らない 認 証 方 式 の 導 入 が 必 要 である ID パスワードを 用 いて 携 帯 電 話 の 識 別 番 号 を 金 融 機 関 に 登 録 する 方 式 においては ID パスワード 漏 洩 時 に 第 三 者 の 携 帯 電 話 番 号 の 識 別 番 号 を 不 正 に 登 録 されるリスクがあるため 登 録 時 には 異 なる 認 証 を 用 いることが 望 ましい 一 般 財 団 法 人 全 国 銀 行 協 会 の インターネット バンキングに 係 る 預 金 等 の 不 正 な 払 戻 しへの 対 策 について 14 では 表 13 の 記 述 があり 対 策 例 の(1) 及 び(2)において 複 数 要 素 を 用 い 13 金 融 情 報 システムセンター 2013/03/ 一 般 財 団 法 人 全 国 銀 行 協 会 平 成 25 年 11 月 14 日 22

23 た 認 証 が 推 奨 されている (3) 及 び(4)はウイルスによる 認 証 情 報 窃 取 に 対 する 対 策 である 表 12 インターネット バンキングに 係 る 預 金 等 の 不 正 な 払 戻 しへの 対 策 について 1.インターネット バンキングにおけるセキュリティ 対 策 の 強 化 お 客 さまがご 利 用 になるパソコンが コンピューターウイルスに 感 染 した 場 合 にも インターネット バンキン グ 取 引 に 係 る 預 金 等 の 不 正 な 払 戻 しが 行 われることのないよう 個 人 法 人 等 のお 客 さまの 属 性 を 勘 案 し セキュリティ 対 策 の 強 化 に 努 める 具 体 的 には 足 下 で 発 生 している 犯 罪 手 口 に 留 意 し 次 のような 対 策 を 1 つまたは 複 数 組 み 合 わせるな どして 順 次 対 策 を 講 じていくよう 努 める 対 策 の 検 討 に 当 たっては 将 来 発 生 が 懸 念 される 犯 罪 手 口 へ の 対 応 策 も 考 慮 に 入 れるものとする 対 策 例 (1)ワンタイムパスワード(ハードウエアトークン ソフトウェアトークン 電 子 メール 通 知 等 )の 採 用 なお 電 子 メ ール 通 知 方 式 の 場 合 は お 客 さまの 携 帯 電 話 アドレス 宛 に 送 信 する 等 取 引 に 利 用 しているパソコンと は 別 の 機 器 への 送 信 を 強 く 推 奨 する (2)お 客 さまが 取 引 に 利 用 しているブラウザとは 別 の 携 帯 電 話 等 の 機 器 を 用 いる 取 引 認 証 の 導 入 (3)お 客 さまのパソコンのウイルス 感 染 状 況 を 検 知 し 警 告 を 発 するソフトの 導 入 と 場 合 により 取 引 を 遮 断 す る 対 処 (4)お 客 さまに 対 するセキュリティ 対 策 ソフトの 無 償 配 布 等 2 オンラインゲーム 分 野 オンラインゲーム 分 野 では 日 本 オンラインゲーム 協 会 にて パスワードリスト 攻 撃 に 対 する 対 策 ガイドライン 15 を 作 成 しているが このガイドラインは 実 際 のセキュリティ 対 策 等 の 情 報 が 含 まれているため 非 公 開 である また 業 界 内 で 利 用 するワンタイムパスワード 認 証 基 盤 が 構 築 されている 16 表 13 日 本 オンラインゲーム 協 会 ランダム 型 アイテム 提 供 方 式 における 表 示 および 運 営 ガイドライン および セキュリティガイドライン を 公 表 より 抜 粋 インシデント 発 生 時 の 情 報 共 有 に 関 するガイドライン パスワードリスト 攻 撃 に 対 する 対 策 ガイドライン ワンタイムパスワード 等 セキュリティソリューションガイドライン セキュリティベンダー 関 連 団 体 との 連 携 ガイドライン 上 記 ガイドラインには 実 際 のセキュリティ 対 策 等 情 報 が 含 まれるため 非 公 開 とさせてい ただきます (2) 政 府 による 対 策 の 呼 びかけ パスワードリスト 攻 撃 の 多 発 を 受 け 前 述 の 不 正 アクセス 等 状 況 報 告 書 及 び 総 務 省 の リ スト 型 アカウントリスト 攻 撃 による 不 正 ログインへの 対 応 方 策 について で 呼 びかけている 具 体 的 な 対 策 を 紹 介 する 15 日 本 オンラインゲーム 協 会 2012 年 8 月 15 日 16 オンラインゲーム スマートフォンゲームの JOGA セキュリティシステムについて(2011 年 11 月 ) 23

24 1 不 正 アクセス 行 為 の 発 生 状 況 及 びアクセス 制 御 機 能 に 関 する 技 術 の 研 究 開 発 の 状 況 不 正 アクセス 等 の 状 況 報 告 書 では 不 正 アクセス 行 為 に 対 する 防 衛 上 の 留 意 事 項 とし て 利 用 権 者 の 講 ずべき 措 置 とアクセス 管 理 者 等 の 講 ずべき 措 置 が 示 されている これらには フ ィッシング 対 策 等 に 加 え パスワードリスト 攻 撃 への 対 策 が 記 載 されている 報 告 書 にある 利 用 権 者 (インターネットサービス 利 用 者 のこと)の 講 ずべき 措 置 を 表 14 アクセス 管 理 者 等 の 講 ず べき 措 置 を 表 15 に 示 す オンライン 本 人 認 証 技 術 の 選 択 に 関 しては 利 用 権 者 の 講 ずべき 措 置 として 金 融 機 関 等 が 提 供 するワンタイムパスワードを 積 極 的 に 利 用 すること( 下 表 :フィッシングに 対 する 注 意 ) アク セス 管 理 者 の 講 ずべき 措 置 として インターネットショッピング オンラインゲーム インター ネットバンキング 等 のサービスではワンタイムパスワード 等 による 認 証 の 強 化 が 求 められてい る インターネットショッピング オンラインゲーム インターネットバンキング 以 外 のサービ スに 関 する 認 証 方 式 の 選 択 方 法 や 推 奨 等 は 示 されていない 表 14 防 御 上 の 留 意 事 項 ( 利 用 権 者 の 講 ずべき 措 置 ) 措 置 フィッシングに 対 する 注 意 パスワードの 適 切 な 設 定 管 理 不 正 プログラム に 対 する 注 意 内 容 電 子 メールにより 本 物 のウェブサイトに 酷 似 したフィッシングサイトに 誘 導 したり 添 付 されたファイルを 開 かせたりして ID パスワードやクレジットカード 情 報 を 不 正 に 取 得 する 事 案 が 多 発 していることから 発 信 元 に 心 当 たりのない 電 子 メールに 注 意 する また 金 融 機 関 等 が 電 子 メールで 口 座 番 号 や 暗 証 番 号 個 人 情 報 を 問 い 合 わせることはなく これらの 情 報 の 入 力 を 求 める 電 子 メールはフィッシングメ ールであると 考 えられることから 情 報 を 入 力 しない さらに 金 融 機 関 等 が 提 供 するワンタイムパスワ ード 等 の 個 人 認 証 方 法 を 積 極 的 に 利 用 する 言 葉 巧 みに 聞 き 出 した ID パスワードによる 不 正 アクセス 行 為 利 用 権 者 のパスワードの 設 定 の 甘 さに つけ 込 んだ 不 正 アクセス 行 為 知 人 等 による 不 正 アクセス 行 為 が 多 発 していることから パスワードを 設 定 する 場 合 には ID と 全 く 同 じパスワードや ID の 一 部 を 使 ったパスワード 等 パスワードの 推 測 が 容 易 なものは 避 ける 複 数 のサイトで 同 じパスワードを 使 用 しないなどの 対 策 を 講 じる また パスワードを 他 人 に 教 えない パスワードを 定 期 的 に 変 更 するなど 自 己 のパスワードを 適 切 に 管 理 する コンピュータに 不 正 プログラムを 感 染 させ 他 人 の ID パスワードを 不 正 に 取 得 する 事 案 が 多 発 している ことから 信 頼 できない 電 子 メールに 添 付 されたファイルを 不 用 意 に 開 いたり 信 頼 できないウェブサイ ト 上 に 蔵 置 されたファイルをダウンロードしたりしない また 不 特 定 多 数 が 利 用 するコンピュータでは 重 要 な 情 報 を 入 力 しない さらに コンピュータウイルス 対 策 等 の 不 正 プログラム 対 策 (ウイルス 対 策 ソフト の 利 用 のほか オペレーティングシステムやウイルス 対 策 ソフトを 含 む 各 種 ソフトウェアのアップデート 等 )を 適 切 に 講 ずる 金 融 機 関 等 が 提 供 するセキュリティ 対 策 ソフトを 積 極 的 に 利 用 する 表 15 防 御 上 の 留 意 事 項 (アクセス 管 理 者 等 の 講 ずべき 措 置 ) 措 置 フィッシング 等 への 対 策 パスワードの 適 切 な 設 定 運 用 体 制 の 構 築 ID パスワードの 適 切 な 管 理 セキュリティ ホ ール 攻 撃 への 対 応 内 容 フィッシング 等 により 不 正 に 取 得 した ID パスワードを 使 用 した 不 正 アクセス 行 為 が 多 発 していることか ら インターネットショッピング オンラインゲーム インターネット バンキング 等 のサービスを 提 供 する 事 業 者 にあっては ワンタイムパスワード 等 により 個 人 認 証 を 強 化 するなどの 対 策 を 講 ずる 利 用 権 者 のパスワードの 設 定 の 甘 さにつけ 込 んだ 不 正 アクセス 行 為 が 多 発 していることから アクセス 管 理 者 は 容 易 に 推 測 されるパスワードを 設 定 できないようにする 定 期 的 にパスワードの 変 更 を 促 す 仕 組 みを 構 築 する 複 数 のサイトで 同 じパスワードを 使 用 することの 危 険 性 を 周 知 するなどの 措 置 を 講 ずる ID パスワードを 知 り 得 る 立 場 にあった 元 従 業 員 による 不 正 アクセス 行 為 も 引 き 続 き 発 生 していることか ら 従 業 員 が 退 職 した 時 や 特 定 電 子 計 算 機 を 利 用 する 立 場 でなくなった 時 には 当 該 従 業 員 に 割 り 当 てていた ID を 削 除 したり パスワードを 変 更 したりするなど 識 別 符 号 の 適 切 な 管 理 を 徹 底 する セキュリティ ホール 攻 撃 の 一 つである SQL インジェクション 攻 撃 を 受 け クレジットカード 番 号 等 の 個 人 情 報 が 流 出 する 事 案 や Web サーバの 脆 弱 性 に 対 する 攻 撃 を 受 け ホームページが 改 ざんされる 事 案 が 発 生 していることから アクセス 管 理 者 は プログラムを 点 検 してセキュリティ 上 の 脆 弱 性 を 解 消 す るとともに 攻 撃 の 兆 候 を 即 座 に 検 知 するためのシステム 等 を 導 入 し セキュリティ ホール 攻 撃 に 対 する 監 視 体 制 を 強 化 する 24

25 2 パスワードリスト 攻 撃 による 不 正 ログインへの 対 応 方 策 について 総 務 省 の パスワードリスト 攻 撃 による 不 正 ログインへの 対 応 方 策 について では リスト 型 攻 撃 対 策 集 として 攻 撃 を 予 防 する 対 策 と 攻 撃 による 被 害 の 拡 大 を 防 ぐ 対 策 をまとめている 攻 撃 を 予 防 する 対 策 を 表 16 に 攻 撃 による 被 害 の 拡 大 を 防 ぐ 対 策 を 表 17 に 示 す 表 16 リスト 型 攻 撃 対 策 集 ( 攻 撃 を 予 防 する 対 策 ) 対 策 1.ID パスワードの 使 い 回 しに 関 する 注 意 喚 起 の 実 施 2.パスワードの 有 効 期 間 設 定 内 容 サービス 毎 に 異 なる ID パスワードを 設 定 するよう 利 用 者 に 注 意 喚 起 する パスワードに 有 効 期 限 を 設 定 し 利 用 者 に 定 期 的 に 変 更 させる 3.パスワードの 履 歴 の 保 存 数 世 代 前 に 使 用 したパスワードへの 変 更 を 認 めないようにする 4. 二 要 素 認 証 の 導 入 ID パスワード 以 外 の 認 証 要 素 (ワンタイムパスワード 等 )を 追 加 する 5.ID パスワードの 適 切 な 保 存 サービス 運 営 事 業 者 において 暗 号 化 等 ID パスワードの 適 切 な 保 存 を 行 う 6. 休 眠 アカウントの 廃 止 長 期 間 利 用 実 績 の 無 いアカウントをデータも 含 めて 削 除 する 7. 推 測 が 容 易 なパスワードの 利 用 拒 否 パスワードポリシーを 定 め 推 測 が 容 易 なパスワードの 利 用 を 拒 否 する 表 17 リスト 型 攻 撃 対 策 集 ( 攻 撃 による 被 害 の 拡 大 を 防 ぐ 対 策 ) 対 策 1.アカウントロックアウト 2. 特 定 の IP アドレスからの 通 信 の 遮 断 3. 普 段 とは 異 なる IP アドレスからの 通 信 の 遮 断 4.ログイン 履 歴 の 表 示 内 容 同 一 の ID に 対 して 一 定 の 閾 値 以 上 の 認 証 エラーが 発 生 した 際 にアカウントを 一 時 停 止 する 特 定 の IP アドレスから 閾 値 以 上 のログイン 要 求 が 発 生 した 際 に 当 該 IP アド レスからの 通 信 を 遮 断 する 通 常 ログインされている IP アドレスとは 大 きく 異 なる IP アドレスからのログイン 要 求 が 発 生 した 際 に 当 該 IP アドレスからの 通 信 を 遮 断 する ログイン 履 歴 を 保 存 し 利 用 者 がアカウントの 利 用 実 績 を 認 識 できるように 設 定 する 以 上 の 対 策 は インターネットサービス 提 供 者 が 実 施 する 対 応 方 策 を 示 しているが パスワー ドの 設 定 は インターネットサービス 利 用 者 自 身 が 行 うものである 同 じインターネットサービ スで 取 り 扱 う 情 報 が 同 じであっても 個 々のインターネットサービス 利 用 者 によってリスクの 評 価 は 異 なる そのため パスワードを 設 定 するインターネットサービス 利 用 者 に 対 してリスク 分 析 の 重 要 性 リスク 分 析 の 結 果 に 応 じた 適 切 なパスワード 設 定 の 重 要 性 を 啓 発 することは 必 要 で あるが すべてのサービスサイトでサービス 提 供 者 側 のリスク 分 析 の 結 果 によってパスワードポ リシーを 一 方 的 に 強 制 的 することは 議 論 の 余 地 がある 25

26 2 まとめ 前 述 したふたつの 報 告 書 に 示 された 対 策 について 整 理 したものを 表 18 に 示 す 防 衛 上 の 留 意 事 項 ( 不 正 アクセス 等 状 況 報 告 書 )は インターネットサービス 提 供 者 が 行 う 措 置 と 利 用 者 が 行 う 措 置 に 分 かれ リスト 型 攻 撃 対 策 集 ( 総 務 省 による)はインターネットサービス 提 供 者 が 行 う 措 置 だけが 記 載 されている 4. 二 要 素 認 証 の 導 入 を 検 討 すること ID パスワードに 関 しては 1.パスワードの 使 い 回 しの 注 意 2.パスワードの 有 効 期 間 の 設 定 7. 推 測 が 容 易 なパスワードの 設 定 に 関 する 対 策 が 共 通 である 表 18 防 衛 上 の 留 意 事 項 とリスト 型 攻 撃 対 策 集 の 共 通 対 策 対 策 内 容 提 供 者 の 措 置 利 用 者 の 措 置 リスト 型 攻 撃 対 策 集 防 御 上 の 留 意 事 項 1.ID パスワードの 使 い 回 しに 関 する 注 意 喚 起 の 実 施 2.パスワードの 有 効 期 間 設 定 攻 撃 を 予 防 す る 対 策 攻 撃 に よる 被 害 の 拡 大 を 防 ぐ 対 策 その 他 3.パスワードの 履 歴 の 保 存 4. 二 要 素 認 証 の 導 入 5.ID パスワードの 適 切 な 保 存 6. 休 眠 アカウントの 廃 止 - 7. 推 測 が 容 易 なパスワードの 利 用 拒 否 1.アカウントロックアウト - 2. 特 定 の IP アドレスからの 通 信 の 遮 断 - 3. 普 段 とは 異 なる IP アドレスからの 通 信 の 遮 断 - 4.ログイン 履 歴 の 表 示 フィッシングに 対 する 注 意 不 正 プログラムに 対 する 注 意 セキュリティ ホール 攻 撃 への 対 応 26

27 3.2. ウイルスによる 認 証 情 報 の 窃 取 パスワードリスト 攻 撃 とともにウイルスによる 認 証 情 報 の 窃 取 を 起 因 とした 不 正 送 金 の 被 害 が 多 く 発 生 している ここでは 公 開 情 報 をもとに 調 査 した 件 数 や 事 例 及 び 手 口 や 対 策 などを 述 べ る 件 数 と 事 例 警 察 庁 が 公 表 している 平 成 25 年 中 のインターネットバンキングに 係 る 不 正 送 金 事 犯 の 発 生 状 況 等 について( 平 成 26 年 1 月 30 日 ) では インターネットバンキングに 係 る 不 正 送 金 の 被 害 件 数 と 被 害 額 が 報 告 されている 平 成 23 年 には 165 件 約 3 億 円 を 超 える 被 害 があったが 平 成 24 年 には 64 件 約 4,800 万 円 と 一 時 的 に 被 害 は 減 少 する 平 成 25 年 では 6 月 以 降 に 被 害 が 急 増 し 1,315 件 約 14 億 円 を 超 え 過 去 最 大 の 被 害 であった さらに 平 成 26 年 度 の 5 月 までで 昨 年 度 と 同 程 度 等 の 被 害 額 となり 過 去 最 大 であった 昨 年 度 の 被 害 額 以 上 の 被 害 額 になる ことは 確 実 である 表 19 インターネットバンキングに 係 る 不 正 送 金 事 犯 の 発 生 状 況 ( 平 成 25 年 中 ) 年 被 害 件 数 被 害 額 平 成 25 年 1,315 件 約 14 億 600 万 円 平 成 24 年 64 件 約 4,800 万 円 平 成 23 年 165 件 約 3 億 800 万 円 手 口 基 本 的 な 手 口 は インターネットバンキング 利 用 者 のパソコンにウイルスを 感 染 させ 不 正 な ポップアップ 画 面 を 表 示 し インターネットバンキングの ID パスワード 暗 証 番 号 乱 数 表 合 言 葉 を 盗 み 取 る 方 法 である( 図 7 参 照 ) 攻 撃 者 はウイルスによって 窃 取 した 認 証 情 報 を 不 正 送 金 などで 利 用 する 図 7 不 正 なポップアップ 画 面 を 表 示 させる 手 口 のイメージ 図 年 12 月 の 呼 びかけ ネット 銀 行 を 狙 った 不 正 なポップアップに 注 意! 27

28 別 の 例 では ワンタイムパスワード 認 証 を 利 用 している 場 合 ワンタイムパスワードをウェブ メールで 受 け 取 る 設 定 で 認 証 情 報 等 を 不 正 に 取 得 される 事 例 があった(2013 年 11 月 以 降 ) この 手 口 のイメージ 図 を 図 8 に 示 す 図 8 の 1ログイン 送 金 操 作 によって 2メールに よるワンタイムパスワード 通 知 が 行 われるが 3メール 確 認 及 び 4ワンタイムパスワー ド 取 得 を 行 う PC 環 境 等 がウイルスに 感 染 している 場 合 インターネットバンキングの ID パ スワード 乱 数 表 合 言 葉 に 加 えて ワンタイムパスワードを 受 信 するためのウェブメールサー ビスの ID パスワードも 盗 み 取 るという 手 口 である( 図 8 の5) 図 8 メールで 受 け 取 るワンタイムパスワードを 不 正 取 得 される 手 口 のイメージ 図 業 界 団 体 等 からの 対 策 呼 びかけ ウイルスによる 不 正 送 金 と 前 述 のパスワードリスト 攻 撃 との 違 いは 利 用 者 が 推 測 困 難 なパス ワードを 設 定 してもウイルス 感 染 を 防 げないことにある これらの 対 策 について フィッシング 対 策 協 議 会 一 般 社 団 法 人 全 国 銀 行 協 会 警 察 庁 が 公 表 している 対 策 の 概 要 及 びガイドライン の 概 要 を 以 下 に 示 す 1 インターネットバンキングの 不 正 送 金 にあわないためのガイドライン フィッシング 対 策 協 議 会 では インターネットバンキングの 不 正 送 金 にあわないためのガイ ドライン(2014 年 05 月 12 日 ) 19 において 乱 数 表 等 の 第 二 認 証 情 報 の 入 力 を 慎 重 に 行 う 等 の 運 用 上 の 対 策 を 示 している 以 下 に 対 策 内 容 を 示 す 年 9 月 の 呼 びかけ インターネットバンキング 利 用 時 の 勘 所 を 理 解 しましょう!

29 表 20 インターネットバンキング 不 正 送 金 にあわないためのガイドライン 共 通 項 目 乱 数 表 等 ( 第 二 認 証 情 報 )の 入 力 は 慎 重 に 行 う ( 鉄 則 ) インターネット 利 用 機 器 を 最 新 の 状 態 に 保 つ PC 環 境 ソフトウェアのこまめなアップデートで 常 に 最 新 状 態 に 保 つ ウイルス 対 策 ソフトを 利 用! 検 知 用 データは 常 に 最 新 に 保 つ 基 本 ソフト(OS)のアップデートも 忘 れずに 行 う 怪 しいサイトへのアクセスは 避 ける スマートデバイス 環 境 アプリのこまめなアップデートで 常 に 最 新 状 態 に 保 つ セキュリティソフトを 利 用! 検 知 用 データは 常 に 最 新 に 保 つ 基 本 ソフト(OS)のアップデートも 忘 れずに 行 う アプリは 正 規 アプリマーケットからインストールする 2 法 人 向 けインターネット バンキングにおける 不 正 送 金 について 一 般 社 団 法 人 全 国 銀 行 協 会 では 法 人 向 けインターネット バンキングにおける 不 正 送 金 に ご 注 意! 20 において 運 用 上 の 対 策 を 示 している 以 下 に 対 策 内 容 を 示 す 表 21 法 人 向 けインターネット バンキングにおける 不 正 送 金 の 注 意 事 項 1.ご 利 用 者 のパソコンの 状 態 に 関 する 対 策 (1) 基 本 ソフト(OS)やウェブブラウザ 等 インストールされている 各 種 ソフトウェアを 最 新 の 状 態 に 更 新 する (2)パソコンにセキュリティ 対 策 ソフトを 導 入 するとともに 最 新 の 状 態 に 更 新 する 2.インターネット バンキングの 運 用 における 対 策 (1) 取 引 の 申 請 者 と 承 認 者 とで 異 なるパソコンを 利 用 する (2)パスワードを 毎 月 変 更 する (3) 振 込 払 戻 しなどの 限 度 額 を 必 要 な 範 囲 内 でできるだけ 低 く 設 定 する (4) 不 審 なログイン 履 歴 がないかを 確 認 する (5) 振 込 先 の 事 前 登 録 などの 取 引 銀 行 が 提 供 するセキュリティ 対 策 を 導 入 利 用 する 単 なるログイン 履 歴 の 表 示 だけではなく ログイン 時 にスマートデバイス 等 に 取 引 内 容 を 通 知 する 対 策 もある これらの 正 常 系 異 常 系 のログインをサービス 提 供 者 に 通 知 する 方 法 について は 正 常 なログインの 結 果 が 表 示 された 場 合 には 不 正 ログイン 試 行 がなかったことを 確 認 でき また 不 正 ログインの 試 行 ( 異 常 系 のログイン)があった 場 合 には サービス 利 用 者 は 不 正 ログイ ンを 身 近 な 脅 威 として 検 知 可 能 であるため 有 効 な 対 策 と 考 えられる 3 インターネットバンキングに 係 る 不 正 送 金 事 案 への 対 策 について 警 察 庁 では インターネットバンキングに 係 る 不 正 送 金 事 案 への 対 策 について( 平 成 25 年 5 月 1 日 ) 21 においてワンタイムパスワードの 利 用 を 推 奨 している 以 下 に 対 策 内 容 を 示 す 表 22 インターネットバンキングに 係 る 不 正 送 金 事 案 への 対 策 について ウイルス 対 策 ソフトを 導 入 する パソコンの OS や 各 ソフトウェアを 最 新 の 状 態 にする ワンタイムパスワードを 利 用 する 不 審 な 入 力 画 面 等 発 見 した 場 合 は 金 融 機 関 等 に 通 報 する

30 メールにワンタイムパスワードが 送 信 される 場 合 は PC 上 で 受 け 取 るメールのアドレスでは なく 携 帯 電 話 のメールアドレスを 登 録 し 携 帯 電 話 等 でワンタイムパスワードを 受 信 するよう に 設 定 することが 効 果 的 であることが 補 足 されている 30

31 3.3 インシデント 事 例 の 分 析 (インタビュー 調 査 の 結 果 ) パスワードリスト 攻 撃 事 例 で 被 害 のあった 企 業 及 び 関 連 団 体 を 含 む 10 社 / 団 体 に 対 してイン タビュー 調 査 を 実 施 し インシデント 事 例 を 分 析 した 表 23 にインタビュー 調 査 概 要 を 示 す なお ほぼすべてのインタビュー 対 象 企 業 は 企 業 団 体 名 を 公 開 しないことを 希 望 したため 企 業 組 織 名 と 回 答 内 容 を 対 応 づけていない 表 23 インターネットサービスサイトの 調 査 概 要 項 目 調 査 対 象 調 査 実 施 期 間 調 査 項 目 概 要 インシデント 事 例 を 有 する 国 内 インターネットサービス 提 供 者 及 び 関 連 団 体 等 10 社 / 団 体 < 内 訳 > 実 際 に 被 害 を 受 けた 企 業 :6 社 上 記 企 業 及 び 業 界 の 関 連 団 体 :4 組 織 2013 年 9 月 ~2014 年 4 月 過 去 遭 遇 したオンライン 本 人 認 証 に 係 るインシデントの 発 生 状 況 及 び 対 策 に 関 する 技 術 およびビジネス 上 の 課 題 等 Ⅰ. 現 状 の 対 策 1.ベースとなる 認 証 方 式 (ID パスワードや ID 連 携 等 ) 2. 多 重 認 証 (ワンタイムパスワード 乱 数 表 等 ) 3.リスクベース 認 証 ( 接 続 利 用 環 境 の 相 違 属 性 に 関 する 質 問 等 ) 4.パスワード 変 更 の 方 法 やパスワード 変 更 を 促 す 通 知 5. 参 照 しているガイドライン 及 び 業 界 団 体 の 検 討 内 容 の 有 無 6.その 他 Ⅱ.インシデント 事 例 1.インシデント 有 無 1インシデントを 発 見 したきっかけ 及 び 対 策 2インシデントの 対 象 となった 認 証 技 術 3 対 策 規 模 ( 人 員 )や 期 間 対 策 による 低 減 度 合 い 2.インシデント 事 例 の 変 遷 や 最 近 の 傾 向 3.インシデント 後 の 対 策 ( 教 訓 を 含 む) 1インシデント 発 生 前 と 後 での 本 人 認 証 方 式 の 変 化 2インシデント 被 害 及 び 対 策 に 関 する 直 接 的 間 接 的 な 影 響 3インシデントを 未 然 に 防 ぐために 必 要 だった 対 策 Ⅲ. 今 後 求 められる 対 策 1. 今 後 のインターネットサービス 提 供 者 におけるセキュアな 本 人 認 証 やサービス 提 供 のために 必 要 と 思 われる 対 策 1インターネットサービス 提 供 者 が 行 うべき 対 策 2インターネットサービス 利 用 者 ( 個 人 )が 行 うべき 対 策 2. 対 策 に 関 する 技 術 およびビジネス 上 の 課 題 3. 検 討 する 上 で 重 要 となる 情 報 等 (1) 被 害 に 遭 遇 した 時 点 の 状 況 すべての 企 業 (6 社 )で ID パスワードによる 認 証 を 実 施 していた ID パスワードの 保 持 数 を 削 減 させることが 可 能 な ID 連 携 を 採 用 している 企 業 は 1 社 のみであった 多 要 素 認 証 として ワンタイムパスワードが 3 社 リスクベース 認 証 は 4 社 が それぞれ 一 部 のサービスに 導 入 して いる 状 況 であった 被 害 後 利 用 者 に 対 するパスワードの 変 更 要 請 は 5 社 で 一 般 的 な 告 知 を 行 っている 31

32 (2) インシデント 発 生 に 際 しての 対 応 等 インシデントの 検 知 発 見 やその 後 の 対 策 状 況 についてのインタビューでは 以 下 にあげる 状 況 であった ただし 対 象 組 織 が 少 ないため 必 ずしもすべての 企 業 に 断 定 できるわけではない a) 発 覚 のきっかけ 検 知 について 他 者 からの 情 報 提 供 や 他 社 で 発 生 した 事 件 を 受 けて 自 社 を 調 査 して 発 覚 した 自 動 プログラムによる 高 速 スピードのログイン 試 行 を 防 ぐことは 可 能 だが 近 年 の 攻 撃 は 巧 妙 となっており アクセス 間 隔 があいているなど 長 期 間 にわたった 攻 撃 が 発 生 している このような 攻 撃 を 検 知 するのは 難 しい b) インシデント 対 応 クレジットカード 情 報 が 流 出 した 場 合 には その 被 害 の 発 覚 に 一 定 に 期 間 を 要 する ため その 間 のモニタリング 対 応 が 必 要 となった 複 数 のサービスを 実 施 している 企 業 では 被 害 にあったサービス 以 外 についても 確 認 を 要 し 非 常 に 時 間 を 要 した 緊 急 的 な 対 応 が 必 要 となるため 通 常 業 務 が 滞 る 情 報 共 有 の 場 があり インシデント 情 報 を 入 手 した これは 事 前 に 注 意 喚 起 等 は 可 能 だが 防 ぐことはできない c) 利 用 者 への 周 知 注 意 喚 起 等 パスワード 変 更 を 呼 び 掛 けるアナウンスを 実 施 した パスワードを 変 更 しないとサービスを 再 開 できないようにした 報 道 はあったが ユーザは 事 の 重 大 性 を 理 解 していないと 感 じる パスワード 管 理 はユーザの 責 任 でもある d) インデント 対 応 後 の 対 策 特 に 対 策 を 追 加 していない インシデント 発 生 時 にすでにワンタイムパスワード(オプション)を 提 供 している ワンタイムパスワードを 提 供 しているが 有 償 であり 普 及 しない 具 体 的 なインシデント 内 容 は CSIRT で 共 有 することが 可 能 ではないか (3) 今 後 求 められる 対 策 課 題 など 最 も 効 率 的 なのは 利 用 者 が 適 切 なパスワードを 設 定 すること OpenID(ID 連 携 )の 活 用 セキュリティ 保 護 ツールの 充 実 ワンタイムパスワードの 提 供 複 数 要 素 認 証 新 たな 認 証 (ワンタイムパスワードや 複 数 要 素 認 証 )を 導 入 するのはコストがかかり 有 償 とすると 利 用 されない ユーザへの 情 報 提 供 および 啓 発 年 齢 層 に 従 った 啓 発 活 動 が 必 要 技 術 的 には 種 々 考 えられるかもしれないが ビジネス 上 の 要 件 とビジネスの 持 続 性 を 考 慮 す 32

33 る 必 要 があり 適 切 な 対 策 を 決 定 するのは 難 しい パスワードリスト 攻 撃 では そもそもアカウントを 流 出 させない 対 策 が 必 要 で これが 強 固 である 必 要 がある 業 界 他 社 とのインシデント 情 報 共 有 体 制 が 必 要 フィッシングサイトの 対 策 のためには 双 方 向 認 証 も 必 要 緊 急 時 の 人 的 リソース 割 り 当 てを 検 討 しておくこと パスワードポリシーを 厳 しくすると ビジネスインパクトが 大 きい 流 出 したアカウントの 情 報 を 共 有 できれば 被 害 は 未 然 に 防 げるのではないか ユーザに 多 くの 対 策 を 求 めるのは 難 しいことから ID 連 携 は 一 つの 解 となる 使 用 したいサービスがすべて ID 連 携 をしているわけではないので 問 題 解 決 にはならない (4) インシデントを 未 然 に 防 ぐために 必 要 だった 対 策 公 開 情 報 及 び 当 事 者 や 関 連 団 体 に 対 するインタビュー 調 査 の 結 果 から インシデントを 未 然 に 防 ぐために 必 要 と 考 えられる 対 策 を 1 技 術 的 な 側 面 2 情 報 共 有 的 な 側 面 3 体 制 面 と 分 類 し 以 下 に 述 べる 1 技 術 的 な 側 面 ID パスワードによる 認 証 以 外 の 認 証 方 式 や 複 数 要 素 認 証 及 び ID 連 携 の 導 入 を 検 討 すべきで あったとする 企 業 もあった 他 方 で 認 証 方 式 の 新 規 導 入 についてはビジネス 面 での 影 響 を 踏 まえ 長 期 の 検 討 期 間 を 要 するため 具 体 的 に 導 入 検 討 に 至 る 企 業 は 少 ない また 多 くの 企 業 から 不 正 アクセス 行 為 の 認 証 状 況 のモニタリング(ログの 監 視 )などを 実 施 することで 早 期 に 発 見 対 応 できた 可 能 性 が 指 摘 された しかしながら このためには 脅 威 情 報 等 を 事 前 に 収 集 しておく 必 要 がある また サービスサイト 側 からは 一 見 して 正 常 な 認 証 行 為 と 見 え 不 正 なアクセスで あることを 検 知 することは 困 難 であるため 不 正 認 証 試 行 を 分 析 検 知 できる 技 術 が 発 展 すると よい 2 情 報 共 有 的 な 側 面 脅 威 情 報 の 共 有 ( 事 前 情 報 の 共 有 ) 攻 撃 を 受 ける 前 に 事 前 に どのようなサービス に 対 して どのような 攻 撃 が 発 生 し ど のような 被 害 が 生 じているのかについては 事 前 に 収 集 できていた 企 業 と 収 集 できていなかっ た 企 業 が 存 在 した このため 不 正 アクセスの 検 知 が 早 い 段 階 で 可 能 だった 場 合 と 発 覚 が 遅 か った 企 業 がある 不 正 アクセス( 認 証 試 行 )は 巧 妙 化 しており 短 時 間 に 試 行 を 繰 り 返 すだけ ではなく 長 期 間 にゆっくりと 試 行 を 繰 り 返 す 場 合 や 特 定 IP アドレスからの 試 行 ではなく 複 数 の IP アドレスから 試 行 する 場 合 もあり これらの 攻 撃 に 関 する 最 新 情 報 の 共 有 が 有 効 と 考 えられている ただし パスワードリスト 攻 撃 では 情 報 共 有 によってモニタの 注 意 のレベルを 上 げることは 可 能 だが 防 ぐことはできない 33

34 対 策 情 報 の 共 有 ( 事 後 対 策 の 共 有 ) どの 程 度 対 策 を 行 うべきか 及 び サービス 利 用 者 に 告 知 すべき 内 容 についても 情 報 が 無 く 対 策 に 苦 労 したという 企 業 が 多 かった 標 的 型 攻 撃 などではすでに 情 報 共 有 の 仕 組 みがある が 同 様 にパスワードリスト 攻 撃 に 対 しても 発 生 状 況 の 把 握 手 口 の 分 析 再 発 防 止 のための 対 策 の 検 討 とその 検 討 結 果 に 関 する 情 報 の 周 知 や 共 有 を 可 能 とするしくみは 役 に 立 つ 2 体 制 面 パスワードリスト 攻 撃 の 攻 撃 を 受 けたことを 確 認 し 対 策 を 行 う 際 に 人 的 リソースの 割 り 当 てがスムーズに 実 施 できず 関 連 する 開 発 者 及 びサポート 人 員 など 限 られた 人 員 で 対 策 した 例 も あり インシデント 対 応 体 制 の 観 点 からの 対 策 も 必 要 である また サービス 利 用 者 から 金 銭 的 被 害 の 報 告 がなかった 場 合 でも クレジットカード 情 報 の 不 正 利 用 による 決 済 の 有 無 を 確 認 する 必 要 があるため 決 済 期 間 を 考 慮 し 少 なくとも 2 ヶ 月 間 は 監 視 体 制 が 必 要 であった (2) インシデントによる 被 害 状 況 公 開 情 報 及 び 当 事 者 や 関 連 団 体 に 対 するインタビュー 調 査 の 結 果 から インシデントによる 影 響 を1 直 接 的 な 影 響 と2 間 接 的 な 影 響 に 分 類 した 以 下 にこれらの 概 要 を 報 告 する 1 直 接 的 な 影 響 金 銭 的 な 被 害 インターネットバンキングにおける 不 正 送 金 等 のインシデントと 比 較 して パスワードリスト 攻 撃 による 金 銭 的 な 被 害 報 告 は 多 くないが 特 典 ポイントに 関 連 した 操 作 が 発 生 した 事 例 は 金 銭 的 な 被 害 となる 対 策 及 び 他 サービスの 確 認 に 係 る 工 数 対 策 に 携 わるための 人 件 費 が 必 要 となった また 一 企 業 において 複 数 のインターネットサー ビスサイトを 提 供 し その 中 の 1 つのインターネットサービスサイトにインシデントが 発 生 した 場 合 企 業 としては インシデントが 発 生 したサービスサイト 以 外 の 他 のサービスサイトについ ても 安 全 性 を 確 認 すべきと 考 え 他 のサービスサイトについても 攻 撃 の 有 無 を 確 認 し そのた めの 工 数 と 期 間 が 相 当 必 要 となった また クレジットカード 情 報 の 流 出 の 恐 れがあるインシデ ントでは 被 害 が 判 明 するために 2 か 月 間 が 必 要 となり その 間 の 対 応 が 必 要 である( 再 掲 ) 2 間 接 的 な 影 響 スパムメールの 大 量 配 信 等 による 他 の 脅 威 への 拡 大 インターネットサービスの 多 くは メールの 到 達 性 によって 本 人 を 確 認 する また パスワー ドの 再 発 行 等 をメールで 送 信 する 場 合 もある 不 正 に 収 集 された ID パスワードにメールの 認 証 情 報 が 含 まれる 場 合 には メールを 閲 覧 し 再 発 行 されたパスワードを 入 手 すること 不 正 にパ スワード 再 発 行 することが 可 能 である ウェブメールサービスではこのようにして 入 手 したメー ルアドレスとパスワードによる 不 正 利 用 の 事 例 も 存 在 する また アカウントの 不 正 利 用 によるスパムメールの 大 量 配 信 が 行 われた 事 例 も 存 在 した スパ 34

35 ムメールの 大 量 配 信 によりマルウェアの 配 布 が 行 われ ボットなど 他 の 脅 威 に 繋 がる 可 能 性 があ る 図 9 にパスワードリスト 攻 撃 によって 他 の 脅 威 に 繋 がる 全 体 像 を 示 す 一 般 に 図 の 赤 字 で 示 したパスワードリスト 攻 撃 による 1リスト 型 サービスアカウント 不 正 アクセス サービス 管 理 運 用 面 の 脆 弱 性 を 利 用 した 2サービスアカウント/パスワード 大 量 漏 洩 及 びこれら で 不 正 に 入 手 した 情 報 を 基 に 行 う 3マルウェア 感 染 個 人 アカウント/パスワード 漏 洩 ボッ ト 化 が 注 目 されている しかし 脅 威 がさらに 拡 大 し 1パスワードリスト 攻 撃 によって 2 スパム 大 量 配 信 マルウェア 配 布 が 行 われ 3マルウェア 感 染 から 個 人 アカウント/ パスワード 漏 洩 ボット 化 に 至 り 4システムアカウントの 不 正 アクセス が 発 生 している という 指 摘 があった 図 9 アカウントの 不 正 アクセスによるマルウェア 配 布 の 構 図 対 策 人 員 に 係 る 定 常 業 務 の 遅 延 緊 急 的 にインシデント 対 策 として 割 り 当 てられた 人 員 が 通 常 行 う 定 常 的 な 業 務 の 遅 延 が 見 ら れた (5) 技 術 及 びビジネス 上 の 課 題 インターネットサービス 提 供 者 は 技 術 的 な 検 討 だけではなく ビジネス 的 な 検 討 も 踏 まえて 本 人 認 証 方 式 を 選 択 し 提 供 する 既 存 の 本 人 認 証 の 選 択 や 新 規 の 本 人 認 証 の 導 入 選 定 においても 様 々な 検 討 が 必 要 となる インタビュー 調 査 の 結 果 から 主 な 検 討 事 項 を 挙 げる ID パスワード 認 証 について パスワードポリシーを 変 更 する 場 合 など インターネット 利 用 者 に 対 して 新 たに 制 限 や 制 限 を 行 うと 利 用 者 数 の 低 減 などの 恐 れがある また 新 たな 制 限 を 行 う 必 然 性 を 示 す 必 要 がある そのため 自 社 や 他 のインターネットサービスのインシデント 事 例 を 参 考 にす る 場 合 ( 他 サービスが 不 正 アクセスを 受 けているため 自 サービスのパスワードポリシーを 厳 しくする 等 )があり 対 策 の 実 施 が 遅 れる 専 用 デバイスを 用 いた 認 証 について 35

36 オプションとしてワンタイムパスワードの 導 入 やトークンデバイスの 導 入 を 行 っている 場 合 でも 有 料 で 提 供 する 場 合 には これらの 導 入 が 進 まない 場 合 が 多 い( 例 えば ワンタ イムパスワードの 新 規 導 入 時 期 に 無 料 配 布 し 一 定 期 間 後 に 有 料 化 に 切 り 替 えると 利 用 率 が 低 下 する 等 ) ID 連 携 の 導 入 について 利 用 者 が 複 数 の ID パスワードを 記 憶 するには 限 度 がある そのため 管 理 すべき ID パスワード 数 を 削 減 させる 意 味 で ID 連 携 を 検 討 する 余 地 がある 一 般 的 な 利 用 者 や 一 般 会 員 ではなく 特 別 な 利 用 者 や 特 別 会 員 には 独 自 に 利 用 者 を 管 理 し より 良 いサービスを 提 供 したいと 考 える 傾 向 があり このような 場 合 には ID 連 携 を 利 用 せず 独 自 に ID を 発 行 して 管 理 する また ID 連 携 の 導 入 を 検 討 する 場 合 に 自 社 と 競 合 関 係 にあるインターネットサービス 提 供 者 が 提 供 する ID を ID 連 携 に 利 用 することは 好 まれない ID 発 行 者 の 信 頼 性 の 維 持 確 認 や 事 業 継 続 性 などの 保 証 などの 課 題 及 び ID 提 供 条 件 の 変 更 等 も 考 慮 する 必 要 があり これらが 障 壁 となり 導 入 できない 場 合 もある SNS の ID やアカウントを 利 用 してサービスを 提 供 している 場 合 ID 以 外 に 必 要 な 情 報 が 不 足 することなども 考 えられるため 不 足 している 情 報 を 利 用 者 から 独 自 に 得 る 必 要 が あり この 場 合 は ID 連 携 等 には 向 かない また 決 済 などを 行 うサービスの 場 合 は ID 連 携 を 利 用 する 際 に ID の 管 理 主 体 や 管 理 方 法 についての 責 任 分 解 が 明 確 でなくなる 可 能 性 があり 導 入 できない ID パスワードの 設 定 基 準 に 関 する 指 標 ガイドラインについて ID パスワードに 関 する 具 体 的 な 指 針 やガイドラインを 求 める 意 見 が 多 数 あった 一 方 指 針 やガイドラインが 対 象 とする 範 囲 は 一 般 的 なインターネットサービス 全 般 を 対 象 と するものと より 具 体 的 に 特 定 分 野 のサービスのみを 対 象 としたものを 求 める 意 見 があっ た 36

37 4. オンライン 本 人 認 証 にかかる 実 態 調 査 4.1. サービスサイト 側 本 調 査 では 国 内 外 のインターネットサービスサイトで 提 供 されているオンライン 本 人 認 証 方 式 の 調 査 並 びに 過 去 オンライン 本 人 認 証 に 係 るインシデントが 発 生 した 企 業 及 び 業 界 団 体 等 に 対 するインタビューを 調 査 した インタビュー 調 査 の 詳 細 は 3.2 に 記 載 したとおりである 調 査 実 施 の 概 要 各 インターネットサービスサイトにおける 調 査 項 目 などは 表 24 に 示 す 通 りである 表 24 インターネットサービスサイトの 調 査 概 要 区 分 項 目 概 要 サイト 調 査 調 査 対 象 調 査 対 象 環 境 調 査 方 法 調 査 実 施 期 間 調 査 項 目 国 内 外 のインターネットサービスサイト 国 内 サービスサイト:100 サイト 海 外 サービスサイト:30 サイト PC 環 境 スマートデバイス 環 境 (スマートフォン タブレット) なお スマートデバイスでの 利 用 環 境 が 提 供 されているサイトについては ブラウザとスマ ホ 専 用 アプリを 含 む 実 際 に 各 サイトへアクセスし 利 用 者 登 録 等 を 実 施 なお 契 約 等 を 必 要 とするサービ スについては 利 用 者 登 録 を 行 わず 公 開 情 報 から 本 人 認 証 方 式 に 関 連 する 情 報 を 収 集 2013 年 11 月 ~2014 年 3 月 利 用 者 登 録 時 に 要 求 する 情 報 認 証 方 式 通 信 方 式 の 種 別 認 証 情 報 の 内 容 変 更 方 式 多 重 認 証 の 場 合 は 各 認 証 方 法 ( ID パスワードの 場 合 は ID およびパスワードの 安 全 性 に 対 する 条 件 ) 等 インタビュ ー 調 査 調 査 対 象 インシデント 事 例 を 有 する 国 内 インターネットサービス 提 供 者 及 び 関 連 団 体 等 (10 者 ) 調 査 実 施 期 間 調 査 項 目 2013 年 9 月 ~2014 年 4 月 過 去 遭 遇 したオンライン 本 人 認 証 に 係 るインシデントの 状 況 及 び 対 策 に 関 する 技 術 およ びビジネス 上 の 課 題 ( 詳 細 は 3.2 参 照 ) 調 査 対 象 のインターネットサービスサイトについては 4.2 のインターネットサービス 利 用 に 対 するアンケート 結 果 から 抽 出 した 代 表 的 な 業 種 ( 金 融 ポータル オンラインショッピング オンラインゲーム SNS など)を 踏 まえ 8 種 類 のサービスに 分 類 した 以 下 にサービス 分 類 を 示 す 37