タグ: multi-factor authentication

サンフランシスコ空港のウェブサイトがサイバー攻撃の標的に

サンフランシスコ国際空港は、スタッフや契約労働者のユーザーネームとパスワードを盗もうと同空港のウェブサイト2つが3月にハッキングされたことを明らかにした。

同空港は、2つのウェブサイトSFOConnect.comSFOConstruction.comが「サイバー攻撃の標的となった」と4月7日付の発表で認めた。ハッカーは、ユーザーのログイン情報を盗むために2つのウェブサイトに悪意あるコンピューターコードを仕込んだ。もし盗まれていたら、攻撃者はこれらのログイン情報を使って空港のネットワークにアクセスできていたかもしれない。ネットワーク侵入を防ぐために、多要素認証のような追加の保護策がとられていたのかどうかは明らかではない。

発表では「Windowsベースの個人デバイスや、空港が管理していないデバイスのInternet Explorerを通じた空港のネットワーク外からのウェブサイトへのアクセスを含め、ユーザーが攻撃の影響を受けている可能性がある」と述べられている。

また発表によれば、空港はスタッフ専用のサイトをオフラインにし、3月23日にパスワードリセットを強制したという。いずれのウェブサイトも現在はバックアップで運営されている。

サンフランシスコ国際空港の広報からのコメントはなかった。

攻撃者が、ユーザーネームやパスワード、クレジットカード情報のデータをも盗むために脆弱性を利用性してウェブサイトにコードを仕込むのは珍しいことではない。

2年前、British Airways(ブリティッシュ・エアウェイズ)のウェブサイトとモバイルアプリにハッカーが悪意あるコードを仕込み、顧客38万人のクレジットカード記録が盗まれた。その攻撃により、当時導入されたばかりのGDPR規則に基づき、同社には欧州史上最大となる2億3000万ドル(約248億円)もの罰金が科せられた。

画像クレジット: MediaNews Group/East Bay Times / Getty Images

[原文へ]

(翻訳:Mizoguchi

Googleの調査データが2段階認証の対ハッカー防御効果を実証

何が最良のセキュリティ対策か、という質問をよく受ける。

長い答は「どんな脅威かによるね」だ。圧倒的多数の人々にとっての最良のセキュリティ対策は、核科学者や政府の諜報部員が必要としているようなレベルのものではない。

短い答は「2段階認証を使いなさい」で足りる。でも、誰も信じようとしない。

でも、サイバーセキュリティのプロなら誰もが、ユニークなパスワードや強力なパスワードを使うよりもそのほうが重要と言うだろう。2段階認証は、通常のログインプロセスよりもやることがひとつ増えて、ユニークなコードをユーザーが持っているデバイスに送ってくる。でもそれは、あなたのアカウントのデータを盗もうとするハッカーに対する最強の防御だ。

ぼくのこんな言葉よりいいものがある。Googleが今週発表したデータは、貧弱でシンプルな2段階認証ですら攻撃に対して強いことを示している。

ニューヨーク大学とカリフォルニア大学サンディエゴ校が協力したその研究によると、テキストメッセージやデバイス上のプロンプトなど、デバイスベースの認証要素(認証コード)は、どんな種類のよくある大規模攻撃に対しても防御力が強いという結果だ。

Googleのデータは、2段階認証のコードとしてスマートフォンに送られてきたテキストメッセージは、盗んだパスワードをログインページで使おうとする自動化ボットを100%防げたことを示している。またパスワードを盗もうとするフィッシング攻撃の96%を防げた。

アカウント乗っ取りの犯行タイプ/対象別防止率(画像提供:Google)

2段階認証には、いろんなやり方がある。前に説明したように、テキストメッセージで送られてくる2段階認証のコードはハッカーが横取りすることもありえるが、2段階認証を使わないよりずっといい。認証アプリ経由で送られてくる2段階認証コードは、さらに安全だ。

機密性の高いアカウントを護るセキュリティキーなら、自動化ボットとフィッシング攻撃の両方を防げるが、国家が犯行に絡んでいるようなターゲットを絞った攻撃には、やられることがある。でもそんな攻撃に遭うのは100万人に一人ぐらいだとGoogleはコメントしている。

それ以外の普通の人なら、アカウントに電話番号を加えておいたら、その電話へのテキストメッセージで簡単な2段階認証コードが送られてくるという方式でも、ないよりはずっとましだ。専用アプリなら、もっといいのだが。

乗っ取られなかったあなたのアカウントは、あなたの苦労に感謝するだろう。

関連記事: Cybersecurity 101: Two-factor authentication can save you from hackers(2段階認証がハッカー被害を防ぐ、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

米国土安全保障省が企業用VPNアプリケーションのセキュリティの欠陥を警告

米国の国土安全保障省のサイバーセキュリティ部門が発行した警告によると、企業用のVPN(Virtual Private Networking、仮想非公開通信網)アプリケーションの一部には、セキュリティ関連のバグにより、遠方からアクセスした犯人が会社の内部的ネットワークに侵入できるものがある。

カーネギーメロン大学の脆弱性開示センターCERT/CCの一般公開開示を受けて米国時間4月12日には、国のCybersecurity and Infrastructure Security Agencyが警告を発行した

Cisco、Palo Alto Networks、Pulse Secure、およびF5 Networks、計4社の作ったVPNアプリケーションは認証トークンとセッションクッキーをユーザーのコンピューターに不正に保存する。これらは消費者ユーザーがプライバシーを護るために従来から利用してきた消費者向けVPNアプリケーションではなく、遠方の社員らが会社のネットワーク上のリソースにアクセスできるために、通常は企業のITスタッフが設置する企業向けVPNアプリケーションだ。

これらのアプリケーションはユーザーのパスワードからトークンを作り出し、ユーザーのコンピューターに保存してユーザーをログイン状態に保ち、彼らが毎回パスワードを入力しなくてもよいようにする。しかしそのトークンが盗まれると、ユーザーのアカウントにパスワード不要でアクセスできるようになる。

マルウェアなどを利用してユーザーのコンピューターにアクセスした犯人は、トークンを盗み、それらを使って、そのユーザーと同じ授権レベルで企業のネットワークにアクセスできる。つまり会社のアプリケーションやシステム、データ等にアクセスできる。

今のところ、Palo Alto Networksのみが、同社のGlobalProtectアプリケーションが脆弱であることを確認している。同社は、WindowsとMacの両クライアント向けにパッチを発行した

CiscoとPulse Secureはアプリケーションをパッチしていない。F5 Networksは、トークンの不正な保存を少なくとも2013年から知っていたが、パッチをリリースする代わりに、二要素認証の利用をユーザーに勧めているそうだ。

CERTの警告によると、同様の欠陥はそのほかの数百ものアプリケーションにある、とされるが、それらを確認するテストはこれからの課題だ。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット: TechCrunch

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

FIDOアライアンスおよびW3C、「パスワード」無用の仕組みを提案

「パスワード」という仕組みは、非常に脆弱だ。極端にいってしまえば、セキュリティ対策としては「意味のない」仕組みであるということに、多くの人が同意してくれることだろう。しかし、われわれは依然としてパスワードに頼りきって生活している。パスワードは、覚えておく利用者自身にも負担になるだけでなく、盗むのも難しくなく、重要な場面で役に立たないものなのだ。そのような中、FIDOとW3Cが、WebAuthnというウェブ閲覧時のパスワードを不要とするプロトコルを開発している。

Google、Mozilla、およびMicrosoftも、仕様が定まった段階で本プロトコルの採用を表明している。セキュリティキーやスマートフォンなどの外部デバイスを利用して認証処理を行うようになっている。このプロトコルでは、認証を必要とするウェブサイトと、BluetoothやUSB、あるいはNFCなどを通じて直接通信を行うことにより、利用者の介入をなくす仕組みになっている。これによりフィッシングなどの可能性を0にできるとうたっている。

そう、新しい仕組みに移行することで、数週間毎に新しくする、20文字程度のセキュリティ神への捧げもの(パスワード)から開放されるだけでなく、流行のセキュリティリスクをなくすこともできるわけだ。パスワードを入力しない以上、フィッシングや介入者攻撃(man-in-the-middle attack)などにより、セキュリティ情報を奪われる可能性もなくなる。認証のためのトークンは必要なときにのみ生成されることとなり、それ以外のときには必要なくなるのだ。

WebAuthnの仕様は、ユースケースについても詳しく説明している。たとえば、ノートパソコンを利用して認証を要するウェブサイトにアクセスする場合についても記述されている。この場合、IDとパスワードを入力する従来の方法に変わり、スマートフォンを利用して認証を行うようになっている。利用者は、スマートフォンに表示されるメッセージに応答するだけで、パスワードなどの入力は無用となるのだ。

FIDO Allianceのエグゼクティブ・ディレクターであるBrett McDowellも、新たな仕組みのメリットを語っている。すなわち、情報漏えいや信用情報の盗用が行われる中、パスワードないしワンタイムパスワードなどという脆弱なシステムに頼るのをやめることを目的としているとのこと。ウェブやアプリケーションで、新たな認証システムを採用することにより、これまでに比べてはるかに安全な認証システムを実現できるのだとのことだ。

ただし、今のところはWebAuthnもファイナル段階に至っていない。しかし勧告候補(Candidate Recommendation:CR)段階となっている。すなわち、最終段階の直前にまで達しているというわけだ。

もちろん、どんなセキュリティ対策にも「完ぺき」はないだろう。新しいプロトコルに対しても、欠陥を突く仕組みが登場してくるのは時間の問題なのだろう。しかし、パスワードを排除しようとする流れ自体は正しいものだと思われる。多くの人が、パスワードという仕組みからの脱出を狙ってきたわけだが、WebAuthnはその流れの中から出てきたシステムなのだ。

原文へ

(翻訳:Maeda, H

私はハックされた!

8月22日火曜日の午後9時頃、ハッカーが自分のSIMと私のSIMをすり替えた ―― おそらくT-Mobileに電話をして。その結果、私の携帯ネットワークサービスは遮断され、そのすぐ後、ハッカーは私のGmailとFacebookのパスワードを変更し、私に代わってテキストメッセージを送った。2要素認証の通知はすべてデフォルトで私の携帯番号に送られたため、私は一切受け取ることができず、約2分間のうちに私はデジタル社会から閉め出された。

事態に気づいたのは午後10時頃で、私は被害を想定しT-Mobileに電話を掛けた。10:30までに私は古いSIMをリセットし、あらゆるパスワードを変更し、2要素認証アカウントとT-Mobileアカウントを強化した。これで二度と同じことが起きないはずだ。

しかし残念ながら、また起きるのではないかと心配している。

私を襲ったハッカーは綿密だった。ものの数分のうちに、彼だか彼女は私のFacebook Messengerのメッセージをすばやく検索し、出身がオハイオ州で、父親が病気であることを突き止めた。そしてこの情報を使って、私の暗号化通貨コミュニティーの知り合いに連絡をとった。そのストーリーは実に馬鹿げていた。支払いを済ませないと病院が父の生命維持装置を外すという。そして腹立たしくも私[に成りすました犯人]は、今すぐ10 bitcoinを借りて売る必要があり、翌日友達に15 bitcoin 返すのだという。幸い友人は間抜けではなかったので、即座の私と妻にメッセージをよこした。

  1. img_1642.jpg

  2. img_1641.jpg

  3. img_1643.jpg

  4. img_1644.jpg

 View Slideshow
Exit

ハッカーのIPアドレス(173.239.232.29)はテキサス州プレイノにあるLogicWebを指しており、閲覧履歴がフロリダ州からログインしたことを示していることから、犯人(ら)は米国以外にいることが示唆される。明らかに慣れた手口であり、ここ一週間のうちに同じコミュニティーの友人がふたりもハックされた。

おそらくきっかけは、暗号化通貨分野の別の友人が先週ハックされたことに違いない。そのハックは、SIMのハイジャック以外すべて今回と同じ特徴をもっていた。ハッカーはまず、私の友人のFacebook Messengerに侵入し、リストの中で暗号化通貨に関心のある人全員(私を含む)と接触した。次にハッカーは、10 bitcoin送れば明日11 bitcoin返すと言った。困惑した私は、Bitcoinは持っているがそんなにたくさんではないと答えた。そこで私はあやしいと気づきこう言った、「Wallace Shawnとは話したか? 彼なら助けてくれると思う。たぶん今は Andreとディナー中だと思う」。ハッカーはWallaceと連絡がつかなかったと言い張った。私は詐欺を確信した。

このやりとりが、私へのハッキングにつながった。私がいくらかのbitcoinを持っていることを知ったハッカーが、次のターゲットに私を選んだのだ。

結局私は運がよかった。今のところ深刻な被害はなく、比較的早くアカウントは全部取り戻した。2要素認証をいくつか設定していたが、最初に携帯電話をやられたため、ほとんどアクセスできなかった。その後、全アカウントで認証アプリを有効にした。最大の疑問は、犯人がどうやって私のSIMカードを乗っ取ったのかだ。これがいちばん心配な部分であり、何が起きたのかをT-Mobileが調べている。

これは新しい問題ではない。Bitcoin取引所のKrakenは注意を喚起し、安全のためのヒントをいくつか書いている。

携帯電話会社に電話をかけて:

  • アカウントにパスコード/暗証番号を設定する

    • アカウント情報の〈あらゆる変更〉に適用されることを確認する
    • 同じアカウントの全部の番号に適用されることを確認する
    • パスコードを忘れたとき、何が起きるかを尋ねる
      • パスコードを盗まれたら何が起きるかも尋ねる

  • ポートフリーズを設定する

  • SIMロックを設定する

  • ハイリスクフラグを追加する

  • ウェブベースのオンライン管理用アカウントを閉鎖する

  • オンライン管理システムの追加登録を禁止する

  • 自分をハックしてみる

    • 相手がどんな情報を漏らすかを試す

    • 自分でどんなアカウント変更ができるか確認する

ほかに、プロバイダーメールアドレスは使わず、2要素認証や警告通知には、通常のアカウントと完全に隔離されたプリペイド携帯かGoogle Voiceの番号を使うことを推奨している。私はこれをすべて実行している。

これ以上証拠がでてこなければ ―― やつらを見つけ出すための情報は常に歓迎している ―― とりあえず私のデータは安全だと仮定するしかないが、同時にそれは、常に、永久に危険にさらされていることでもある。これは私にとってFacebook時代で初めての本格的ハッキング被害であり、パニックになったときの感覚はいまだに忘れられない。もしあなたに起きたときは、まず携帯電話を止め、それからメールその他のアカウントの処置をすることをお勧めする。そして、絶対安全なものはないと想定すること。今私は物理的セキュリティーの方がはるかに関心がある。自分の手の中にあるものの方が、ハードディスクの中にあるものより安全だと気付いたからだ。

私はハックされた。おそらくあなたもハックされる。ユーザーアカウントのハックは益々難しくなっているが、決して不可能ではない。最悪の事態に備え、起きないことを願おう。起きてしまったときでも、計画を立て、バックアップをしていれば、きっとチャンスはある。

[原文へ]

(翻訳:Nob Takahashi / facebook