/

サイバーアーク「多要素認証の万能視は危険」

日経クロステック

イスラエルのセキュリティー対策ソフト企業サイバーアーク・ソフトウエア日本法人は8日、セキュリティー動向についての説明会を開催した。米国の拠点に所属し、レッド・チーム・サービス担当バイスプレジデントを務めるシャイ・ナハリ氏が、パスワードと指紋など複数の要素で認証する多要素認証をすり抜ける攻撃の手口を解説。「多要素認証は優秀だが万能視は危険だ」と警鐘を鳴らした。

ナハリ氏は多要素認証を回避する主な手口として、システム設計の不備を突く手口、ウェブブラウザーが保存するクッキー情報を盗む手口など4例を挙げた。疑似的なサイバー攻撃によって企業の対処能力の向上を支援する同社のサービスで確認したとしている。

例えばシステム設計の不備を突く手口ではまず、ある企業の一部の利用者にフィッシング詐欺を仕掛けて端末を乗っ取った。この端末が内蔵していたVPN(仮想私設網)装置の多要素認証を済ませたことを証明する「ソフトトークン」を入手し、トークンを使ってVPNの多要素認証を回避した。

この企業は、利用者のIDごとに接続できる社内システムを限定していなかった。VPNの認証を回避した後は、1つのパスワードだけですべてのシステムに対してアクセスできるようになったという。「社内の重要データを守るには多要素認証だけでなく、利用者のID単位で接続できる社内システムの範囲を絞り込むなど、複数の手段を組み合わせることが大切」とナハリ氏は指摘した。

(日経クロステック 島津忠承)

[日経クロステック 2021年10月8日掲載]

すべての記事が読み放題
有料会員が初回1カ月無料

関連トピック

トピックをフォローすると、新着情報のチェックやまとめ読みがしやすくなります。

セレクション

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン
図表を保存する
有料会員の方のみご利用になれます。保存した図表はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン