Tag Archives: two-factor authentication

電子メールアカウントを支配できれば、相当に大きな力を手に入れられるのではないでしょうか。他人に私的な電子メールを読まれたからといって気にしない人もいるかもしれませんが、電子メールを読まれることだけが問題なのではありません。もちろん、ハッキングしたアカウントの電子メールを嗅ぎ回って、秘密を明らかにするような攻撃はこれまでもたくさんありました。嫉妬深い配偶者が浮気の証拠を探しているとか、もっとシリアスなケースとしては産業スパイが重要な取引に関する情報を追い求めているとか、攻撃の理由はさまざまです。あるいは、ハッキングしたアカウントを利用して持ち主になりすまし、アカウントに登録されている連絡先にソーシャルエンジニアリングメッセージを送るといった攻撃もあるでしょう。

現在、電子メールアカウントは単に電子メールを送受信するためだけのものではありません。Microsoft 社や Google 社など、無料サービスプロバイダの多くが、電子メールアカウントに付随したサービスを数多く提供しています。こうしたアカウントにアクセスできれば、そこにアップロードされたプライベート写真などにもアクセスできるようになるかもしれません。攻撃者が電子メールアカウントに侵入して裸の写真などを見つけ、持ち主を恐喝したという事件も何件か起こっています。ほとんどの人は、そんな写真をアップロードするほど愚かではないでしょう。しかし、さまざまなサービスを備えた現在の統合クラウドストレージでは、パスワードファイル、ライセンスファイル、税務記録、パスポートのスキャン画像、仕事の書類など、あらゆる種類のファイルが電子メールアカウントの下に格納されている可能性があります。

電子メールの影響力は、対象となる範囲が広い分、これより大きいかもしれません。多くのオンラインサービスでは、電子メールアドレスをユーザー名として使用しています。そのため、電子メールアドレスとパスワードが知られてしまうと、電子メールプロバイダ以外のさまざまなアカウントへのアクセスを攻撃者に許してしまいかねません。複数のサービスでパスワードを使い回していない場合でも、多くのサービスでは、電子メールからパスワードをリセットできる機能が提供されているからです。電子メールアカウントさえ掌握すれば、どのようなパスワードが使われていても、他のサービスのパスワードリセットメールを利用して、別の多くのサービスにアクセスできてしまいます。

データ侵害によって電子メールアドレスやパスワードが漏えいするたびに、他の攻撃者がこの情報を利用して新しい攻撃を仕掛けます。通常、彼らはまず同じパスワードで電子メールアカウントにアクセスできないかどうかを調べます。

もちろん、攻撃者はあらゆるサービスに興味があるわけではありません。ソーシャルメディアアカウントが自由に操られてしまうのは（特に通信社に勤めているような人の場合）、不愉快な事態かもしれません。多くの人にとってはそれほど大きなダメージはないかもしれませんが、企業の場合は話が別です。アカウントに何かあれば、ブランドイメージが損なわれる可能性があります。昨年大きく報道された、Wired のマット・ホーナン（Mat Honan）記者のケースでは、ハッカーによって iCloud アカウントにアクセスされ、Apple 社製の複数デバイスのデータがワイプ（消去）されてしまいました。こうなると面倒ですが、追加のセキュリティ手段を導入すればリスクを軽減することができます。

サービスの中には、攻撃者の興味を引くものもあります。たとえば、商品やサービスをオンラインで注文できる企業の場合、企業は登録済みのクレジットカードに課金したり、アカウント所有者に請求書を送ったりできます。金融サービスやオークション、支払いサービスなどは、ハッカーが真っ先に調べるサービスです。アカウント所有者にとって、他人に操作されたくないサービスはたくさんあります。企業がさまざまな機能を追加すればするほど、電子メールアカウントを保護することはより重要になります。たとえば、Google 社は最近、Google ウォレットを Gmail に統合することを発表しました。これにより、電子メールに画像を添付するように、電子メールアカウントから送金できるようになります。電子メールにお金を添付することも可能です。ということは、攻撃者もそうできる可能性があるのです。

こうした攻撃を防ぐために、Google 社はサービスプロバイダとしては最初期に 2 要素認証を一般に導入しました。続いて、Apple 社を初めとする他のサービスプロバイダも、2 要素認証やアウトオブバンド認証を取り入れ始めました。これらの認証方式では、事前に登録したモバイルデバイスやワンタイムパスワード（OTP）生成アプリケーションにコードが送られます。このソリューションは、パスワードよりも安全にアカウントを保護できるうえ、公開されている情報から簡単に類推できてしまうような「セキュリティの質問」を答えさせる方法よりも格段に優れています。

こういった新しい認証方式が提供されているのに利用しないと、パスワードさえ必要としない攻撃に対して脆弱なままになります。このような攻撃はめったにはありませんが、2013 年に Apple 社のパスワードリセット機能が一時停止されたときのように、問題が生じる可能性は常にあります。このとき、Apple 社は迅速に対応して問題を解決しましたが、2 要素認証に登録していたユーザーはその間、保護されていました。また、攻撃者がクロスサイトリクエストフォージェリ（CSRF）攻撃を使ってアクティブなセッションをハイジャックし、電子メールアカウントを再設定するというケースも何度かあります。たとえば、以前には、ある Web サイトが転送フィルタを Gmail アカウントに追加して、すべての電子メールを別のアドレスに転送するという単純な攻撃がありました。もちろん、Google 社はこの問題を迅速に修正し、アカウントのセキュリティを強化しました。現在では、新しいフィルタが追加されると、警告メッセージが表示されるようになっています。しかし、サービスを使用しない間はアカウントからログアウトするようにというアドバイスは、あまり実効性がないため、ユーザーがこうした攻撃を防ぐのはなかなか難しいでしょう。

メインで使用している電子メールアカウントには、他のサービスに使用していない独自の強力なパスワードを設定してください。また、電子メールアカウントに新しいセキュリティ機能が導入されていないか、常にチェックするようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。