フィッシング 詐 欺 情 報 漏 えい パスワードクラックなどに 耐 性 のある 次 世 代 認 証 鍵 共 有 方 式 ~ 使 いやすさと 安 全 性 の 両 立 とクラウドストレージへの 応 用 ~ ( 独 ) 産 業 技 術 総 合 研 究 所 情 報 セキュリティ 研 究 センター 主 幹 研 究 員 兼 BURSEC 株 式 会 社 CTO 古 原 和 邦 認 証 鍵 共 有 方 式 は 情 報 通 信 ネットワークやそれを 経 由 して 提 供 される 各 種 サービスを 安 全 に 利 用 する 上 で 欠 かせない 技 術 となっている 一 方 フィッシング 詐 欺 など 利 用 者 の うっかりミスを 突 く 攻 撃 情 報 漏 えい パスワードクラックなど 既 存 方 式 では 対 処 しきれ ない 問 題 も 出 始 めている 本 稿 では これらの 問 題 点 を 克 服 するために 新 たに 考 案 実 用 化 された 次 世 代 認 証 鍵 共 有 方 式 について 紹 介 する 新 方 式 は 認 証 機 能 の 強 化 に 加 えて 重 要 データのオンライン 分 散 保 存 機 能 も 備 えており クラウドストレージなどのオンライン ストレージの 可 用 性 と 情 報 漏 えい 耐 性 の 向 上 にも 利 用 できる はじめに エンティティ( 利 用 者 端 末 サーバなど)がネットワーク 上 の 相 手 を 認 証 し その 認 証 されたエンティティとの 間 に 安 全 な 通 信 路 を 設 立 するための 暗 号 鍵 を 共 有 する 方 式 は 認 証 鍵 共 有 方 式 と 呼 ばれている 例 えば Web ブラウザを 使 っている 際 にブラウザの 右 下 などに 現 れる 鍵 マークは 通 信 相 手 と 暗 号 化 通 信 を 行 うための 鍵 が 共 有 されたことを 意 味 している 他 にも 無 線 LAN に 接 続 する 際 や VPN(Virtual Private Network)で 社 内 LAN に 接 続 する 際 などにも 認 証 鍵 共 有 方 式 は 利 用 されており 現 在 の ICT 社 会 の 安 全 性 を 確 保 する 上 で 欠 かせない 要 素 技 術 の1つになっている 1990 年 代 初 頭 辺 りまでのインターネットは どちらかと 言 うと つながること 使 え ること が 重 要 であり 相 手 認 証 はせいぜい 送 信 元 アドレスの 確 認 平 文 で 送 信 された ID パスワードの 確 認 が 主 流 であった この 世 代 を 鍵 共 有 および 通 信 路 の 暗 号 化 改 ざん 検 出 が 行 わ れ て い な い と い う 意 味 で 第 0 世 代 と 呼 ぶ こ と に す る 1990 年 代 に 入 り WWW(World Wide Web)やインターネットの 商 用 利 用 が 普 及 してくると それに 伴 い 通 信 内 容 を 保 護 したり 相 手 を 認 証 したりするための 枠 組 みが 導 入 されるようになった 代 表 的 なものに SSL/TLS (Secure Socket Layer/Transport Layer Security) SSH (Secure Shell) IPsec などがあり 現 在 それらで 利 用 されている 認 証 鍵 共 有 方 式 を 第 1 世 代 と 呼 ぶ
ことにする 第 1 世 代 認 証 鍵 共 有 方 式 のおかげで ネットショッピング ウェブバンキン グなどの 各 種 電 子 商 取 引 を 自 宅 から 行 えるようになり 出 先 からの 社 内 LAN への 接 続 無 線 LAN 接 続 なども 第 0 世 代 と 比 べると 格 段 に 安 全 に 行 えるようになった ちなみに 認 証 鍵 共 有 を 行 うための 基 本 的 な 考 え 方 や 要 素 技 術 は 1970 年 代 に 提 案 されて おり その 普 及 までに 20~30 年 掛 ったことになる 第 1 世 代 認 証 鍵 共 有 方 式 の 限 界 第 1 世 代 認 証 鍵 共 有 方 式 はその 利 用 開 始 から 15 年 以 上 経 過 しているが 以 下 のような 問 題 が 浮 上 しており 有 効 な 解 決 策 が 求 められている 1. うっかりミスを 突 く 攻 撃 の 蔓 延 : フィッシング 詐 欺 など うっかりミスを 突 く 攻 撃 が 行 われ 実 被 害 が 出 るようになった 2. 情 報 漏 えい 事 故 の 増 加 : 情 報 漏 えい 事 故 の 増 加 [JNSA09]により 鍵 や 認 証 情 報 が 漏 れる 状 況 を 考 慮 する 必 要 性 が 出 てきた 3. 全 数 探 索 可 能 なパスワード 範 囲 の 拡 大 : 計 算 能 力 の 向 上 と 計 算 資 源 の 低 価 格 化 により 人 間 がストレスなく 使 える 短 いパスワードは 全 数 探 索 により 破 られるようになってき た 4. 通 信 路 しか 保 護 できない: サーバやクライアントに 保 存 されるデータは 保 護 できない 1.に 対 しては 利 用 者 への 教 育 も 重 要 である しかしながら 利 用 者 にとって 警 告 メッセ ージを 正 しく 理 解 し アドレスバー 鍵 マーク サーバ 証 明 書 の 拇 印 などを 確 認 すること はめんどうな 作 業 である その 上 これらの 作 業 は 強 制 ではないため 利 用 者 に 徹 底 させる ことは 容 易 ではない 攻 撃 方 法 は 日 々 進 化 しており 例 えば 警 告 の 出 ない 公 開 鍵 証 明 書 が 利 用 されたり DNS が 偽 装 され 正 しい URL が 使 用 されたり 多 言 語 文 字 を 含 む 紛 らわ しい 文 字 が URL に 使 用 されたり 検 索 結 果 の 上 位 にフィッシングサイトを 表 示 させたり 表 示 ページ 中 に 正 しいアドレス 鍵 マーク グリーンのカラーアドレスバー(EV 証 明 書 が 検 証 されたことを 示 す)が 描 かれる Picture-In-Picture 攻 撃 [JSTB07]が 行 われた 場 合 など 高 度 あるいは 新 手 の 攻 撃 にも 対 処 する 必 要 がある もはや 利 用 者 への 注 意 喚 起 だけで は 限 界 が 来 ており 徹 底 可 能 で 利 用 者 に 負 担 の 掛 らない 対 策 が 求 められている 2.に 対 しては 鍵 をスマートカードのような 耐 タンパーモジュールに 格 納 することも 可 能 ではある しかしながら コスト 高 になるという 問 題 に 加 えて モジュールを 物 理 的 にこ じ 開 ける 侵 襲 型 攻 撃 や 消 費 電 力 や 漏 えい 電 磁 波 などを 使 って 内 部 に 格 納 されている 鍵 を 抜 き 出 すサイドチャネル 攻 撃 も 進 化 している 実 際 自 動 車 の 電 子 鍵 や 交 通 系 の 決 済 で 利 用 されるスマートカードから 鍵 が 抜 き 出 されるなど 実 被 害 も 出 始 めており 耐 タンパー 性 に 強 く 頼 らないシステムづくりが 求 められている
3. に 対 しては 生 体 認 証 を 使 うことも 可 能 であるが 本 人 拒 否 率 と 他 人 受 入 率 のバランスを 取 るためにパスワードと 併 用 される 場 合 も 多 く その 場 合 はパスワードの 問 題 は 残 ってし まう また 読 み 取 り 装 置 を 備 えるためにコスト 高 になるという 問 題 もある 4. については 認 証 鍵 共 有 方 式 は 通 信 路 を 保 護 する 目 的 でしか 設 計 されていないため 暗 号 化 して 送 信 されたデータは 必 ずサーバで 平 文 に 復 号 されてしまう そのため クラウド ストレージ モバイルPCのハードディスク USB メモリなどの 持 ち 出 し 可 搬 媒 体 など 暗 号 化 の 用 途 には 利 用 できない 次 世 代 の 認 証 鍵 共 有 方 式 我 々は 従 来 より 第 1 世 代 認 証 鍵 共 有 方 式 で 問 題 となっていた 前 述 の 問 題 に 加 えて 以 下 のような 機 能 や 特 性 を 満 たすための 暗 号 プロトコルに 関 する 基 礎 研 究 を 行 っており それ を 解 決 するための 基 本 プ ロ ト コル LR-AKE (Leakage-Resilient Authenticated Key Establishment) [LR-AKE]を 提 案 していた この 度 その 応 用 システムを 実 用 化 させ 商 用 サービスを 開 始 したので その 内 容 について 紹 介 する 実 用 化 した 次 世 代 認 証 鍵 共 有 方 式 LR-AKE とその 応 用 システムの 特 徴 : 情 報 漏 えい 耐 性 : 攻 撃 者 がクライアント サーバいずれに 記 録 されている 情 報 と 通 信 路 を 流 れたデータを 入 手 し それらに 対 してパスワードのオフライン 全 数 探 索 を 試 したとしても 利 用 者 のパスワードや 保 存 データを 復 元 できない 性 質 この 性 質 によ りクライアント 端 末 や 認 証 トークンの 盗 難 紛 失 サーバ 管 理 者 の 不 正 サーバから の 情 報 漏 えいに 耐 性 を 持 たせることが 可 能 となった 耐 タンパー 性 不 要 : 記 録 情 報 の 漏 えいに 強 い 構 造 を 実 現 できたため 強 い 耐 タンパー 性 は 必 ずしも 必 要 では 無 くなった そのため USB メモリなどの 安 価 な 可 搬 媒 体 を 認 証 トークンとして 利 用 可 能 になった データのオンライン 分 散 管 理 機 能 : 情 報 漏 えいに 強 い 性 質 を 応 用 し 複 数 のアカウン トを 使 ってクラスタを 組 み そこに 重 要 なデータをオンラインで 分 散 保 存 復 元 する ことができる( 図 1 参 照 ) この 機 能 は 認 証 や 重 要 データの 保 存 が 必 要 となるアプリ ケーションが LR-AKE クライアントを 呼 び 出 すことで 利 用 可 能 になり 例 えば 複 数 のID,パスワード 暗 号 鍵 署 名 鍵 などを 情 報 漏 えいに 強 い 形 式 で 分 散 保 存 したり 復 元 したりする 機 能 を 容 易 に 組 み 込 むことが 可 能 となる 短 いパスワード1つ: 利 便 性 の 観 点 から 複 数 のサービスを 受 ける 場 合 でも 利 用 者 が 記 憶 すべき 秘 密 情 報 は 短 い 系 列 1つでよい この 短 い 系 列 は 典 型 的 にはパスワード であるが 生 体 情 報 から 抜 き 出 された 短 い 系 列 グラフィカルパスワード ワンタイ ムパスワードなどでもよい 短 いパスワードが 安 全 に 使 える 理 由 は オフライン 全 数 探 索 とオンラインで 複 数 のアカウントに 対 してパスワードを 試 す 並 列 オンラインパス
ワード 全 数 探 索 を 防 止 できているためである なお 1つのマスターパスワードを 使 って 複 数 のID パスワードを 管 理 する 既 存 のアプリケーションも 存 在 するが それ らは 管 理 するID パスワードを 平 文 もしくは マスターパスワードで 暗 号 化 し てハードディスクに 保 存 するため 暗 号 文 が 漏 えいするとそのマスターパスワードの 全 数 探 索 が 可 能 になるという 問 題 点 がある うっかりミス 対 策 : サーバを 検 証 するために URL 鍵 マーク 公 開 鍵 証 明 書 の 拇 印 などの 確 認 は 不 要 利 用 者 は 通 信 相 手 を 選 択 し 記 憶 している 短 いパスワードを 正 しい 入 力 欄 に 入 力 するだけでよい( 通 信 相 手 が 検 証 され 検 証 されなかった 相 手 と は 通 信 は 行 われない また プロトコルの 構 成 上 ネットワーク 上 の 攻 撃 者 は 打 ち 込 ま れたパスワードを 入 手 できない 利 用 者 権 限 でのアカウントおよび 端 末 管 理 機 能 : 一 人 の 利 用 者 が 複 数 の 端 末 を 利 用 す ることを 想 定 して 設 計 してあり 1つの 端 末 や 認 証 トークンを 紛 失 したとしても 利 用 者 の 権 限 で 他 の 端 末 から 紛 失 した 端 末 のアカウントを 無 効 にし 新 たな 端 末 にア カウントをセットすることが 可 能 また 他 の 端 末 からオンライン 全 数 探 索 が 行 われ たり それにより 端 末 がロックされたりすれば その 事 実 を 他 の 端 末 利 用 時 に 通 知 さ れる これにより 管 理 者 の 負 担 を 軽 減 できると 共 に アカウントの 再 発 行 までの 業 務 停 止 期 間 を 短 縮 できる なお 既 存 のサービスでも 落 とした 端 末 と 通 信 して それ をロックしたり そこに 保 存 してあるデータを 消 去 したりするサービスがあるが そ れらは 端 末 がネットワークから 遮 断 された 場 合 に 利 用 できなくなるという 問 題 点 があ った 新 方 式 はそのような 状 況 においてもアカウントの 無 効 化 やロックが 可 能 となる 漏 えい 情 報 の 自 動 無 効 化 機 能 / 侵 入 検 知 機 能 : 仮 に 攻 撃 者 が 利 用 者 になりすますため のすべての 情 報 を 入 手 できたとしても 正 しい 利 用 者 がその 攻 撃 者 より 先 にサーバに ログインすれば それ 以 降 その 攻 撃 者 の 入 手 した 情 報 は 自 動 的 に 使 えなくなる また 逆 に 攻 撃 者 が 先 にログインした 場 合 正 しい 利 用 者 はログインできなくなり 侵 入 の 事 実 を 知 ることができる 漏 えい 情 報 を 利 用 したオンラインパスワード 全 数 探 索 とミスタイプ 切 り 分 け 機 能 : ロ グインに 失 敗 した 場 合 に それが 第 三 者 による 漏 えい 情 報 を 使 った 攻 撃 であるのか それとも 利 用 者 のミスタイプであるかを 判 定 し 攻 撃 が 数 回 行 われた 場 合 のみ 端 末 を ロックすることができる 強 前 方 秘 匿 性 : 公 開 鍵 暗 号 や 関 連 する 難 問 が 完 全 に 解 かれたとしても 盗 聴 者 に 対 し て 過 去 の 通 信 内 容 を 秘 匿 できる 類 似 の 性 質 に 前 方 秘 匿 性 (Forward Secrecy)があるが 前 方 秘 匿 性 だけでは 公 開 鍵 暗 号 やそれを 構 成 する 難 問 が 完 全 に 解 かれると 過 去 の 通 信 内 容 は 暴 かれてしまう 現 在 PKIなどで 広 く 利 用 されている 1024 ビットの RSA 暗 号 は 2020 年 頃 には 解 読 可 能 になると 見 積 もられており[LV00] 現 在 1024 ビットの RSA 暗 号 で 暗 号 化 されたデータはそれ 以 降 に 暴 かれる 可 能 性 がある
図 1 次 世 代 認 証 鍵 共 有 方 式 LR-AKE を 応 用 した 新 セキュリティレイヤ 認 証 や 重 要 データの 保 存 を 行 わなければならない 既 存 アプリと 既 存 ストレージの 間 に 入 って 上 記 の 機 能 を 提 供 LR-AKE 応 用 システムの 実 用 化 には 弊 所 ベンチャー 開 発 センター[INCS]のスタートア ップ 開 発 戦 略 タスクフォース 制 度 の 支 援 を 受 けた スタートアップ 開 発 戦 略 タスクフォー ス 制 度 とは 弊 所 の 研 究 者 とベンチャー 創 出 のエキスパート(スタートアップ アドバイ ザー)がタスクフォースを 組 み ベンチャー 起 業 を 通 して 研 究 成 果 を 社 会 に 提 供 するため の 検 討 と 計 画 立 案 を 技 術 と 経 営 の 両 面 から 行 い それを 実 行 する 制 度 である この 制 度 な どを 受 け 現 在 までに 100 社 程 度 が 産 総 研 技 術 移 転 ベンチャーとして 創 業 している 我 々も この 制 度 の 基 で 実 用 化 のための 研 究 開 発 と ビジネス 化 に 向 けた 検 討 を 行 い 今 年 の4 月 に BURSEC 株 式 会 社 というベンチャー 会 社 を 設 立 し 商 用 サービスを 開 始 した 主 な 事 業 内 容 は 社 内 LANへ 接 続 するための 認 証 システムやクラウドストレージに LR-AKE を 統 合 したり 認 証 や 重 要 データの 保 存 が 必 要 となる 各 種 アプリケーションへ LR-AKE を 組 み 込 んだりするためのサービスを 行 っている より 詳 しい 内 容 を 知 りたい 方 は 下 記 までご 連 絡 頂 きたい また 本 技 術 の 普 及 により 利 用 者 の 負 担 を 軽 減 させつつ 安 全 性 の 向 上 に 貢 献 できれば 幸 いである 連 絡 先 商 用 サービスに 関 する 問 い 合 わせ 先 : BURSEC 株 式 会 社 TEL: 03-5207-6025, E-mail: info@bursec.com, Web: http://www.bursec.com
学 術 的 な 研 究 対 象 としての 問 い 合 わせ 先 : ( 独 ) 産 業 技 術 総 合 研 究 所 情 報 セキュリティ 研 究 センター E-mail: lrake@m.aist.go.jp, Web: http://www.rcis.aist.go.jp/project/lr-ake 参 考 文 献 [JNSA09] JNSA2008 年 情 報 セキュリティインシデントに 関 する 調 査 報 告 書,ver. 1.3, 2009 [JSTB07] C. Jackson, D. Simon, D. Tan and A. Barth, An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks, Usable Security (USEC'07), 2007.02 [LV01] Lenstra, A. and E. Verheul, "Selecting Cryptographic Key Sizes", Journal of Cryptology 14 (2001) 255-293, 2001 [LR-AKE] LR-AKE Homepage, http://www.rcis.aist.go.jp/project/lr-ake/publications.html [INCS] ( 独 ) 産 業 技 術 総 合 研 究 所 ベンチャー 開 発 センター, http://unit.aist.go.jp/incs/ci/index.html