Zenn
MIXI DEVELOPERS Tech Blog
🤞

ユーザー認証における脅威分析のための2つの軸

ritou
に公開
Security
認証
Passkey (パスキー)
tech

ritouです。MIXI IDのあたりを担当しています。

背景

近年、証券会社のアカウント乗っ取りに代表される不正ログイン事案が社会の注目を集めており、ユーザー認証に対する不安が急速に広がっています。

世の中には多種多様な認証方式が存在しますが、往々にしてネガティブな側面が強調されがちで「パスワード認証は危ない」「多要素認証も中間者攻撃で突破される可能性がある」「パスキーは安全だと聞くけれど、いまいち使いづらい」といった声が散見されています。認証方式を比較するマトリックスを作っても「この方式はこの攻撃に弱い」といったところが気になってしまい、どれがどれぐらい安全なのか、安全に利用するために何に気をつけたら良いのかという全体像が見えにくい現状があります。仕組みを知らない人が漠然と怖いと感じるのはある程度仕方ないことですが、せっかく調べてみても知れば知るほど複雑さに直面し、かえって混乱を深めてしまうのは避けたいものです。

本記事では、このような現状を打破するため、ユーザー認証に対する脅威を「ターゲットとなるユーザーのアクションが必要かどうか」と「ターゲットとなるユーザーのデバイスや環境にアクセスする必要があるか」という2つの軸で分析する方法を紹介します。これは私自身が業務などで認証方式の選定や提案を行う際の評価基準を一般化して文章化したものです。このフレームワークを用いることで、どの脅威が特に危険で早急な対策が必要なのか、あるいはどのような条件下で危険度が増すのかを体系的に整理します。それにより、サービス開発者やユーザーが現状を理解し、適切な設計、実装、そして利用判断に役立てられることを目指しています。

脅威の分析方法

2つの軸

本記事で提唱する脅威分析の2つの軸は以下の通りです。これらの軸は、攻撃が成功するために必要な条件を明確にし、脅威の性質を理解するための基盤となります。

  • ターゲットとなるユーザーのアクションが必要かどうか: 攻撃を成功させるために、正規ユーザー自身が何らかの操作(例: 偽サイトでの情報入力、不審なリンクのクリック、マルウェアの実行許可など)を自発的に行う必要があるか否かを判断する軸です。正規ユーザーの行動が介在しない攻撃は、より高度なシステム的防御が求められます。
  • ターゲットとなるユーザーのデバイスや環境にアクセスする必要があるか: 攻撃者がユーザーのデバイス(スマートフォン、PCなど)やその周辺環境(メールアカウント、SMS通信、ブラウザのセッション情報など)への物理的または論理的(リモートアクセス含む)なアクセス権を必要とするか否かを判断する軸です。認証要素としての所持情報に注目が集まっている中で、重要な意味合いを持ちます。

2つの軸を用いた脅威の分類

各象限の脅威の特性と、それに対する一般的なリスク評価、そして対策の方向性について解説します。

  • 正規ユーザーのアクション不要、デバイス/環境へのアクセス不要: この象限に分類される脅威は、攻撃者がリモートから、ユーザーの行動やデバイスへの直接的なアクセスなしに不正ログインを試みるものです。代表的な例としてパスワードリスト攻撃が挙げられます。これは、推測やフィッシング、他のサービスから流出した認証情報を用いてログインを試みる攻撃であり、ユーザーが全く関与しないまま被害が発生する可能性があります。
  • 正規ユーザーのアクションが必要、デバイス/環境へのアクセス不要: この象限の脅威は、攻撃者がリモートからユーザーを誘導し、ユーザー自身の行動によって被害が発生するものです。リアルタイムフィッシング攻撃が典型例です。ユーザーは偽サイトに誘導され、そこで入力した認証情報(パスワード、OTPなど)が攻撃者に転送され、リアルタイムに正規サイトへのログインに利用されます。攻撃者はユーザーのデバイスに直接アクセスする必要はありません。
  • 正規ユーザーのアクション不要、デバイス/環境へのアクセスが必要: この象限の脅威は、攻撃者がユーザーのデバイスやその周辺環境へのアクセス権を既に持っている状態(例: デバイスの盗難、マルウェア感染によるリモートアクセス)で、ユーザーの明示的なアクションなしに不正ログインを試みるものです。所持情報として利用するデバイス自体が取得され、アンロックされた状態からの不正ログインや、ブラウザに保存されたパスワード情報の窃取などがこれに該当します。リモートからの攻撃に比べると、攻撃の前提条件(デバイスへのアクセス)が厳しいため、発生頻度は低いかもしれませんが、一度アクセスを許すと深刻な被害につながる可能性があります。
  • 正規ユーザーのアクションもデバイス/環境へのアクセスもどちらも必要: この象限は、攻撃を成功させるためにユーザーのアクションとデバイス/環境へのアクセスの両方が必要となる、最も条件が厳しい脅威です。例えば、ユーザーを物理的に脅迫し、目の前でデバイスを操作させてログインさせるようなケースが考えられます。他の象限の脅威に比べると発生頻度は極めて低いですが、万一発生した場合はユーザーにとって精神的・物理的に大きな負担となるでしょう。

これらの分類に対する印象は、個人の感覚や置かれた状況によって異なるでしょう。私の場合は次のように考え、対策の優先順位や方向性の検討に利用しています。

  • 正規ユーザーのアクション不要、デバイス/環境へのアクセス不要: この象限の脅威は、ユーザーが何も知らずに被害に遭う可能性が高いものです。サービスはここに当てはまる脅威を残さないようにすべく、早急な対策が必要です。パスワードレス認証へのこだわりもこれに関連しています。
  • 正規ユーザーのアクションが必要、デバイス/環境へのアクセス不要: この象限の脅威は、ユーザーの「騙されやすさ」に依存します。サービスはフィシング耐性のある認証方式を用意して使ってもらうシステム的な防御、ユーザーへの啓発の両面からのアプローチが重要です。
  • 正規ユーザーのアクション不要、デバイス/環境へのアクセスが必要: この象限の脅威は、デバイスのセキュリティ管理が鍵となります。リモートからの攻撃に比べると前提条件が厳しいため、発生頻度は低いかもしれませんが、スマートフォンを紛失したり、マルウェアに感染したりするリスクを考えると、決して安心できる状況ではありません。所持情報を用いる認証方式の普及とともに、デバイスや環境の管理の重要性は増しています。
  • 正規ユーザーのアクションもデバイス/環境へのアクセスもどちらも必要: この象限の脅威は、発生頻度が極めて低いと思われるものの、物理的な脅威を伴う可能性があり、ユーザーにとっての心理的・物理的負担が大きいです。金融系サービスが管理する資産情報を元に実際の自宅に強盗が押し入るといった犯罪が行われる可能性がありますし、大きな事件の中で被害者のクレジットカードやキャッシュカードを用いた犯行が含まれていることもあるため、頭の片隅に入れておかなければならないところだと感じています。

個別の認証方式の評価への適用

ざっくりとした分類以外に、認証方式を評価にも使えます。

パスワード認証

パスワード認証において発生しうる脅威を整理しましょう。

  • 正規ユーザーのアクション不要、デバイス/環境へのアクセス不要: ユーザーが複数のサービスでパスワードを使い回しており、そのパスワードが他のサービスからのデータ漏洩によって流出している場合、攻撃者はユーザーのアクションやデバイスへのアクセスなしに不正ログインを試みることができます。これは、私たちが長年悩まされてきた、最も基本的な、しかし深刻な問題です。
  • 正規ユーザーのアクションが必要、デバイス/環境へのアクセス不要: たとえパスワードを使い回していなくても、パスワードマネージャーを使用しておらず、巧妙なフィッシングサイトに誘導されてパスワードを入力してしまった場合、リアルタイムフィッシング攻撃の被害に遭う可能性があります。多要素認証を導入していても、フィッシング耐性がない場合はこの攻撃で突破されるリスクがあります。
  • 正規ユーザーのアクション不要、デバイス/環境へのアクセスが必要: パスワードマネージャーを使用している場合でも、そのパスワードマネージャー自体がマルウェアなどによって乗っ取られたり、パスワードが保存されているデバイスに物理的にアクセスされ、アンロックされた状態からパスワードが窃取されたりするケースがこれに該当します。ブラウザに保存されたパスワードを不正に抜き取る攻撃も、この象限に含まれるでしょう。
  • 正規ユーザーのアクションもデバイス/環境へのアクセスもどちらも必要: 物理的な脅迫などにより、ユーザーが目の前でパスワードの入力を強制されるような、極めて稀なケースを指します。

次に、これらの脅威に対する対策を考えましょう。

多要素認証(MFA)を一旦考慮しない場合、パスワードマネージャーの適切な利用が、左上(パスワードリスト攻撃)と右上(リアルタイムフィッシング攻撃)の脅威に対する対策となります。パスワードマネージャーを正しく使う、つまり推測困難なパスワードを生成・管理し、フィッシングサイトには自動入力されない状況により、これらのリスクを大幅に低減します。左下(デバイスアクセスからのパスワード窃取)に対しては、デバイス自体のセキュリティ管理(強力なロック、マルウェア対策など)を徹底することが重要です。

メール/SMS OTP

メールやSMSによるワンタイムパスワード(OTP)認証についても、脅威からみてみましょう。

  • 正規ユーザーのアクション不要、デバイス/環境へのアクセス不要: ワンタイムかつ有効期限が決められる特性から、通常の使用ではこの象限には当てはまりません。(これがOTP認証のみのパスワードレス認証を運用している根拠とも言えます。)しかし、よく懸念として挙げられる「SIMスワップ」や「メールアカウントの乗っ取り」が発生した場合、攻撃者はユーザーのアクションなしにOTPを受信し、不正ログインを試みることが可能になります。
  • 正規ユーザーのアクションが必要、デバイス/環境へのアクセス不要: OTPはフィッシング耐性がないため、リアルタイムフィッシング攻撃がこの象限に該当します。ユーザーが偽サイトに誘導され、そこで入力したOTPがリアルタイムで攻撃者に転送され、正規サイトへのログインに悪用されます。
  • 正規ユーザーのアクション不要、デバイス/環境へのアクセスが必要: OTPを受信するデバイス(スマートフォン、PC)が盗難され、ロックが解除された状態で、攻撃者がメールやSMSアプリに直接アクセスしてOTPを読み取る場合がこれに該当します。
  • 正規ユーザーのアクションもデバイス/環境へのアクセスもどちらも必要: 物理的な脅迫などにより、ユーザーが目の前でOTPの入力を強制されるようなケースが考えられます。

次に、これらの脅威に対する対策を考えます。

左上(SIMスワップ、メールアカウント乗っ取り)の脅威に対しては、OTPを受信する環境(メールアカウント、電話番号)の死守が最重要となります。メールアカウントであれば、メーラーとの設定はOAuthで行い、そのアカウントの認証強度を上げるなど、ユーザー自身でコントロールできる部分もあります。しかし、SMSに関してはキャリアの責任範囲が大きく、ユーザー側での対策には限界があるため、悩ましいですね。

右上(リアルタイムフィッシング攻撃)に対しては、ユーザーがフィッシングに「引っかからない」こと自体が非常に難しいため、フィッシング耐性のないOTP認証をなるべく使わないことが対策となりそうです。ユーザーはパスキーなど、より安全な認証方式が利用できるサービスでは積極的にそれを利用し、サービス提供者はその準備を進めることが推奨されます。

パスキー認証

最後に、注目されるパスキー認証についても見ていきましょう。

  • 正規ユーザーのアクション不要、デバイス/環境へのアクセス不要: パスキーはフィッシング耐性が高く、通常はこの象限の脅威には強いとされています。しかし、今後、パスキーの「エクスポート/インポート」機能がクロスプラットフォームで標準化されることが見込まれています。もし、攻撃者が正規の方法でパスキーデータ自体を取得したりパスワードマネージャーの脆弱性をつかれた場合、ユーザーのアクションやデバイスへの直接アクセスなしに不正ログインが可能になるリスクが存在します。
  • 正規ユーザーのアクションが必要、デバイス/環境へのアクセス不要: パスキーはフィッシングに強いですが、もしサービス側がパスキー以外の認証方式(例: パスワード認証)も提供している場合、攻撃者がユーザーを騙して、フィッシング耐性のない別の認証方式を使わせることで、リアルタイムフィッシング攻撃の成功率を上げようとする可能性は考えられます。これはパスキー自体の脆弱性ではなく、認証方式の選択肢が複数ある場合の複合的なリスクと言えます。
  • 正規ユーザーのアクション不要、デバイス/環境へのアクセスが必要: パスキーが利用可能なデバイス(スマートフォン、PCなど)が盗難され、かつローカル認証(PIN、生体認証など)が突破されている状態は、この象限に該当します。同期型パスキーの場合、一つのデバイスが危険に晒されることで、他の同期された環境でもパスキーが利用可能になるリスクが広がります。
  • 正規ユーザーのアクションもデバイス/環境へのアクセスもどちらも必要: 物理的な脅迫などにより、ユーザーが目の前でデバイスの生体認証やPIN入力を強制され、パスキーによるログインをさせられるようなケースが考えられます。寝ている間に指紋認証、これもある意味...

対策については省略します。

認証の未来と注目すべき点

これまでの認証セキュリティは、主にリモートからの攻撃、特にパスワードリスト攻撃やフィッシング攻撃といった「正規ユーザーのアクション不要、デバイス/環境へのアクセス不要」および「正規ユーザーのアクションが必要、デバイス/環境へのアクセス不要」の象限に焦点が当てられてきました。しかし、多要素認証で所持情報を利用する認証方式が加えられるようになったこと、パスキーのようなフィッシング耐性の高い認証方式が普及するにつれて、脅威の重心は変化していくと考えられます。

今後は、「正規ユーザーのアクション不要、デバイス/環境へのアクセスが必要」という象限の脅威、すなわち、ユーザーのデバイスや環境自体が攻撃のターゲットとなるケースについて、より深く検討し、対策を講じる必要が出てくるでしょう。デバイスのセキュリティ、マルウェア対策、そしてデバイス紛失時の対応などが、これまで以上に重要になってきます。

まとめ

本記事では、ユーザー認証に対する脅威を「ターゲットとなるユーザーのアクションが必要かどうか」と「ターゲットとなるユーザーのデバイスや環境にアクセスする必要があるか」という2つの軸で分析する方法を紹介しました。

この手法を用いることで、多様な認証方式が持つ特徴を体系的に理解し、それぞれの脅威がどのようなリスクを孕んでいるのかを客観的に評価することが可能になります。これにより、サービス提供者はより効果的なセキュリティ対策を設計・実装でき、ユーザーは自身の利用状況に応じた適切な認証方式の選択や、セキュリティ意識の向上に役立てることができるでしょう。実際は理屈を超えた攻撃のトレンドみたいなものもあるので机上の計算通りにはならないことも多いわけですが、認証方式やそれを採用するサービスを評価する際、こういう考えがあることも頭の片隅に置いておいてもらうと良いでしょう。

ではまた。

MIXI DEVELOPERS Tech Blog
MIXI DEVELOPERS Tech Blog

株式会社MIXIのZenn版テックブログです。実務で得た技術知見や個人的に調べたことなどを紹介しています。

Discussion