Google従業員のフィッシング被害を撲滅した最新の高セキュリティ対策法とは？

サイトやサービスにログインするためのパスワードを盗まれてしまうフィッシングの被害は、インターネット社会における非常に重要な問題点です。まだまだパスワードを手打ちで入力するログイン方法が使われ続けている一方で、SMSやスマートフォンアプリを使った「2段階認証」や、そもそもパスワードを憶えることが不要になる認証技術「WebAuthn」などが登場してきています。

Google: Security Keys Neutralized Employee Phishing — Krebs on Security
https://krebsonsecurity.com/2018/07/google-security-keys-neutered-employee-phishing/

約8万5000人の従業員を抱え、秘匿性の高い情報を扱うGoogleにとって、スタッフのセキュリティ性を高めることは重要な課題です。度重なるフィッシング被害に対処するため、GoogleはUSBポートに挿すタイプのセキュリティデバイス「セキュリティキー」を導入。すると、それ以降はフィッシングの被害が全く報告されなくなったそうです。

Googleが導入したのは、Yubico製の2段階認証用セキュリティキー「YubiKey」だとのこと。このデバイスはFIDO Universal 2nd Factor(U2F)に準拠したもので、従来はパスワードが要求される場面でYubiKeyをUSBポートに挿し、デバイス上のボタンを押すだけで認証が安全に行われます。

YubiKeyの仕組みの背後にあるのは、「2段階認証」と呼ばれる概念です。従来は、ログインが必要な際に「ワンタイムパスワード」をSMSなどで携帯電話に送信し、それを手で入力するというものが主流だったこの方法は効果も高かったのですが、SIMカードを盗まれて別の端末に入れられてしまうと第三者の不正ログインが可能になってしまうという「穴」が指摘されていました。同じく「スマートフォンを使う」という意味では、Googleが提供していたGoogle Authenticatorも基本的に同じ問題から逃れることはできなかったとのこと。

Google・Facebook・Yahoo！などの2段階認証を突破する方法が判明 - GIGAZINE

一方、U2Fに準拠するYubiKeyのようなデバイスはボタンを押すだけで安全に認証が行われ、その情報も他に漏れることはまずないというのが大きな特徴。オープンソースで提供されているU2FはDropboxやFacebook、Github、Googleなどの各サービスでサポートされているほか、DashlaneやKeePassといったパスワードマネージャーアプリにも取り入れられています。

また、ブラウザでも同様の流れが取り入れられています。さまざまな機能をブラウザ上で実現するWebアプリケーションにログインする際、多くの場合はパスワードを入力することが必要ですが、そこには必ずセキュリティのリスクが生じます。この問題を回避するための認証技術「WebAuthn」はパスワードに依存することなくサイトへのログインや決済の実行を行うことが可能になります。WebAuthnはChromeやFirefox、Edgeなどのブラウザで既にサポートされています。

この機能は多くの場合、デフォルトでは無効化されています。例えばFirefoxの場合は、アドレスバーに「about:config」と入力してページを開き、一覧から「security.webauth.u2f」を選んで表示された項目をダブルクリックして値を「true」に変更することで、有効化することができます。

全てのパスワードを記録または記憶して手で入力するパスワードの場合、どうしても同じパスワードを使い回ししてしまう傾向にあり、ひとたびどこかのサイトからパスワードが流出してしまうと他のサービスへのログイン情報も流出してしまうことがあります。2段階認証およびU2Fの技術はそのような問題を回避できるものとして期待されています。