サイバー攻撃の巧妙化により、従来「有効な対策」とされてきたMFA(多要素認証)ですら突破されるケースが現実の脅威となっている。企業がどれほど丁寧にパスワード管理を徹底し、MFAを導入していたとしても、攻撃者はその仕組みの「隙間」を突く手法を次々と編み出してくるのだ。こうした背景から、パスワードやワンタイムコードに依存しないパスキーやFIDO2に基づくフィッシング耐性認証が注目を集めている。本稿では、認証をめぐる現在の脅威の実態と、次世代認証技術の仕組み、そしてそれを実現するソリューションについて解説する。

高度化するフィッシング攻撃 ― 崩れつつある「MFAで安全」という常識

企業のセキュリティ対策として「有効な対策」として位置づけられてきたMFAだが、近年その前提が揺らぎ始めている。攻撃者がMFAの仕組みそのものを回避・突破する手法を確立しつつあるからだ。

こうした攻撃の代表例として挙げられるのが、MFAを回避可能な高度なフィッシング攻撃である。昨今、多くの国内企業もそうしたフィッシング攻撃手法により深刻な被害を受けている。かつてのフィッシングは、偽のログインページにIDとパスワードを入力させ、認証情報を盗み出すというものだった。不自然な日本語や粗雑なデザインでユーザーが見破りやすい上、MFAを設定していれば、仮にパスワードが盗まれたとしても不正ログインを防げた。しかし、最近の高度なフィッシングは、まったく異なる様相を呈している。

その代表格が「リアルタイムフィッシング」と「AitM(Adversary-in-the-Middle)攻撃」である。リアルタイムフィッシングでは、被害者がフィッシングサイトにIDとパスワードを入力すると、攻撃者がリアルタイムに裏側で本物のサイトへその情報を入力する。MFAによるワンタイムパスワードが要求されると、被害者が入力したコードを攻撃者が即座に使用してログインを完了させてしまう。有効期限のある二要素認証でも、リアルタイム処理によって突破される。

AitM攻撃はさらに巧妙だ。フィッシングサイトが本物のサイトとの通信を中継(プロキシ)し、被害者には正規サイトの画面がそのまま表示される。入力されたID・パスワードやMFA情報はすべて中継され、正規サイトが発行する認証済みセッション情報(Cookie)を攻撃者が窃取する。これにより攻撃者は再認証なしに正規ユーザーとしてシステムにアクセスでき、従来型のワンタイムコードに依存したMFAやSSO対策は、無力化されるリスクが大きいのである。

  • (資料)AitM攻撃に関して

    AitM攻撃(Adversary in the middle)について

さらに懸念すべきは、こうした高度な攻撃の「敷居」が急速に下がっていることだ。攻撃者がPhaaS(Phishing as a Service)と呼ばれる攻撃ツールをサービスとして利用できるようになり、高度な技術を持たない者でも精巧なフィッシング攻撃を実行できる環境が整いつつある。加えて、AIの進化により、かつて有効だった「不自然な日本語」を手がかりとした見分けも困難になった。日本企業はセキュリティ対策が相対的に遅れているとも指摘されているなか、今後ますます標的にされるリスクが高まっているのだ。

パスワード認証の構造的な限界 ― なぜ「知識情報」に依存する仕組みは破られるのか

フィッシング攻撃が高度化する根本的な理由は、パスワードという認証方式が持つ構造的な弱さにある。パスワードは「知識情報」、すなわち「知っていること」を根拠とする認証方式だ。ユーザーとサーバが同じ秘密情報を共有する仕組みである以上、その秘密情報が第三者に取得されると、正規ユーザーとの区別がつかなくなる。

パスワードを取り巻くリスクは、使い回しや推測攻撃、フィッシング、情報漏えいなど多岐にわたり、攻撃経路は無数に存在する。加えて、定期変更やロックアウト対応といった運用管理の負担も大きい。

  • (資料)パスワードが攻撃にさらされる攻撃手法

    パスワードが危険にさらされる攻撃手法について

MFAはこうした弱点を補う手段として広く普及してきたが、リアルタイムフィッシングやAitM攻撃といった最新のフィッシング攻撃の前では限界がある。SMSやメールによるワンタイムコード、プッシュ通知形式の承認はいずれも悪用リスクを抱えており、MFAがパスワードを前提とする「追加の層」である限り、共有された秘密に依存する認証の根本的な脆弱性は解消されない。

フィッシングを構造的に防ぐ FIDO2・パスキーが変える認証の常識

こうした認証の構造的な課題を解決する技術として急速に注目を集めているのが「FIDO2」および「パスキー」である。これらは従来のパスワード認証とは根本的に異なる仕組みに基づいており、フィッシングや認証情報の漏えいを構造レベルで防ぐことを可能にする。

FIDO2は、パスワードへの過度な依存を減らすことを目的として2012年に発足した業界団体「FIDOアライアンス」が2018年に発表した技術規格だ。公開鍵暗号方式を採用し、指紋認証や顔認証といった生体情報をオンライン上でやり取りすることなく、ローカルのデバイスで処理する仕組みを持つ。主要なOS・ブラウザ・クラウドサービスへの対応も進んでおり、企業環境への導入基盤も整いつつある。

認証の仕組みは次のとおりだ。ユーザーが新たにサービスへ登録する際、端末側で「秘密鍵」と「公開鍵」のペアが生成される。秘密鍵は端末内に安全に保持され、外部へ出ることは一切ない。公開鍵のみがサーバ側に登録される。ログイン時にはサーバがチャレンジコードを発行し、端末が保持する秘密鍵でそれに署名した値をサーバに返す。サーバは公開鍵でその署名を検証することで本人確認を行う。

この仕組みの核心は、「共有される秘密情報が存在しない」点にある。パスワードのように攻撃者が盗み取れる情報がそもそも存在しないため、フィッシングサイトへ誘導されても悪用可能な認証情報を詐取することができず、AitM攻撃で通信を中継されても意味のある情報は得られないため、仮にサーバ側が侵害されても認証を突破することはできないのだ。

  • (資料)パスキーについて

    Passkeysについて

パスキーは、FIDO2規格をベースにしたパスワードレス認証方式であり、2022年に主要プラットフォーマーによって発表された。指紋認証や顔認証と組み合わせて利用でき、パスワードを覚えたり入力したりすることなく、安全かつ快適に認証できる。国際的な標準に基づく取り組みとして日本も参画しており、セキュリティと利便性を両立した次世代の認証方式として普及が期待されている。

ユーザーだけでなくデバイスも信頼の判断軸に ― ゼロトラスト時代の認証基盤

FIDO2・パスキーによる認証は、フィッシング耐性の面で従来のパスワードやワンタイムコードに依存したMFAを大きく上回る。しかしゼロトラストの観点では、「誰がログインしたか」の確認だけではなく、「どのデバイスからアクセスしているか」も、重要な信頼判断の軸となる。

近年は、正規ユーザーが正しく認証されていても、マルウェアに感染した端末や管理外のデバイスを起点に不正行為が行われるケースが増えている。NIST(米国国立標準技術研究所)がゼロトラストを「常に検証し、信頼を前提としない」と定義するように、アクセスのたびにユーザーとデバイスの双方を動的に評価する仕組みが求められている。

そのため、OSの更新状況やセキュリティ設定、マルウェア感染の有無といったデバイス状態を動的に確認し、信頼条件を満たす端末のみにアクセスを許可する仕組みは、現代のセキュリティに不可欠な要素といえる。

既存環境を活かしながらフィッシング耐性を実現する「Beyond Identity」という最適解

  • (イラスト)これまでのログイン方法とBeyond Identityの認証

FIDO2に基づくパスワードレス認証と、デバイスの信頼性確認を組み合わせたセキュリティ基盤を実現するソリューションの一つが、「Beyond Identity」だ。三井物産グループのICT中核企業である三井情報株式会社(MKI)が国内で提供している。

Beyond Identityの最大の特徴は、認証情報をユーザーではなくデバイスに紐づけ、秘密鍵をデバイス内にのみ保持する点にある。サーバ側に秘密鍵などの秘密情報を保存しない設計により、フィッシングや認証情報漏えいを構造的に防ぐことができる。さらに認証時には、ユーザーの確認と同時にデバイスの状態やポリシー遵守状況を評価し、信頼条件を満たした端末からのアクセスのみを許可する。これにより、正規ユーザーであっても管理外や、セキュリティ上問題のあるデバイスからのアクセスを防止し、認証後の侵害リスクを大幅に低減できるのである。

そして、Beyond Identityのもう一つの重要な特長が、既存のITインフラを大きく変更することなく導入できる点だ。Entra ID(旧Azure AD)など、企業がすでに利用しているIDaaS(Identity as a Service)と連携し、ユーザー管理やアクセス制御の仕組みはそのままに、認証部分のみをフィッシング耐性の高いパスワードレス認証に置き換えることができる。IDaaS側のポリシーに加えて独立した制御を行えるほか、Entra IDとの連携ではMFAの一要素として段階的に導入することも可能で、AitM攻撃対策としての柔軟性も備えている。

運用負荷を増やさずセキュリティを強化 ― 現実的なパスワードレス導入を実現

パスワードレス認証は、運用や管理が複雑になると懸念される声もあるが、Beyond Identityはむしろ運用負荷の軽減にも貢献する。パスワードの発行・変更・リセットが不要になり、ヘルプデスクへの問い合わせ対応も削減できる。初回のデバイス登録はQRコードや9桁コードによる簡易な操作で完了し、以降はパスワード入力やワンタイムコードを入力することなく認証が完結する。各種セキュリティガイドラインがパスキー認証を推奨する流れの中で、ポリシー変更への対応負担を抑えられる点も、現実的なメリットだ。

また、Beyond Identityは、認証情報をデバイスに紐づけて保持するパスキー方式を採用し、認証情報が他デバイスへ自動的に同期されない設計によりコーポレートITが求める高いセキュリティ水準を満たしている。一方で、デバイス変更時の引き継ぎや、紛失時の無効化・削除を管理者がGUIから行えるため、複数デバイス環境においても安全な運用が可能だ。物理キーを必要としないソフトウェア方式のため、資産管理の煩雑さも生じない。

  • (イラスト)Beyond Identity導入のメリット

「起きてから対策する」ではなく「攻撃されにくい前提を作る」認証基盤へ

クラウド活用やリモートワークが当たり前となった今日、認証基盤は単なるログイン手段ではなく、企業全体のセキュリティを支える根幹となっている。フィッシング攻撃や不正ログインの手口が急速に高度化するなか、従来のID・パスワードを前提とした認証の仕組みを見直すことは、もはや先進的な取り組みではなく、すべての企業が直面する喫緊の課題と言っても過言ではない。

日本企業においてもセキュリティ投資の重要性が一層高まっているが、認証・認可の強化はその中でも最も即効性の高い対策の一つである。まずはIDaaSの導入とMFAの整備を基盤とし、さらにFIDO2・パスキーに基づくフィッシング耐性のあるMFAへとステップアップすることで、攻撃者が悪用できる「認証の隙間」を根本から塞ぐことができる。セキュリティというのは常に攻撃側との“いたちごっこ”の側面を持つが、「何かが起きてから対策する」のではなく、「攻撃されにくい前提を構造的に作る」という発想への転換こそが、これからの認証基盤に求められる本質だといえるだろう。

Beyond Identityに関するお問い合わせ

関連リンク

[PR]提供:三井情報