2017 年 9 月 6 日

マルチファクター認証に関してーFIDO U2Fとはいったい何?

2016年6月、Twitterがハッカーに攻撃され、ユーザー名、メールアドレス、パスワードを含む
3200万個のユーザーアカウント情報がダークネットで売買されました。
同じ時期にLinkedIn、 MySpace、Tumblr、そしてVK.comも相次いで攻撃され、大規模なユーザー
アカウントの情報漏洩が問題になりました。
責任の所在は一体どこにあるのでしょう?

共通鍵暗号に頼るセキュリティ体制が攻撃されることは頻繁にあり、実際に損失を被ってから解決策を
探すのでは遅いというのは皆さんもお分かりだと思います。

マルチファクター認証に関して

マルチファクター認証(Multifactor Authentication)とはセキュリティシステムの一つです。
権限のない利用者によるシステムとネットワーク資産への不正アクセスを阻止する方法で、ネットワークの
世界ではユーザー確認が行われるのはごく一般的です。
ほとんどのアプリは単一要素認証でユーザーのアカウントを守っていますが、昨今のネットワーク進化状況と
サイバー攻撃の強度には全く太刀打ちできません。
ハッカーはフィッシング攻撃、パケットキャプチャ、辞書攻撃、ソーシャルエンジニアリング攻撃など様々な攻撃を
通じて簡単にユーザーのパスワードを入手できます。
安全性を高める為には、「ユーザーが所有するもの」や「ユーザーの身体的特性」の要素を追加する必要があります。
中でも一番馴染みが深いのはセキュリティトークンと生体認証技術です。
トークンはユーザーが持つことによる認証方式で、パスワードと組み合わせることでアカウントの安全性を大幅に
高められます。
ハッカーがユーザーのアカウント情報を盗もうとする場合、ユーザーアカウントのパスワードのほか、セキュリティ
トークン認証をクリアする必要があるからです。
現在一番浸透しているのははワンタイムパスワードトークン(OTP)で、認証する度にランダムな一回切りの
パスワードを生成することで、アカウントの安全性を大幅に向上します。
ワンタイムパスワードは通常1分間という短時間のみ有効ですが、共通鍵暗号の一種であるため、この1分間の間は、
通常のパスワードと同等な脆弱性を持ちます。
また、ユーザーが入力し易い様、ワンタイムパスワードは8桁以下(6桁が一般的)で設けられています。
パスワードはシードと呼ばれる決まった「ルール」で生成され、ハッカーがシードを入手した場合、パスワードは
容易に算出可能です。

FIDO U2Fとは?

FIDO(FastIdentityOnline)は上記の様な脆弱性を解決するために生まれたソリューションです。
FIDOはFIDO allianceという団体により開発されたオンライン認証プロトコルであり、セキュリティトークンを使って
ユーザーに非対称鍵暗号方式による認証を提供します。
この認証では、秘密鍵と公開鍵の2種類の鍵ペアを利用し、公開鍵で暗号化したものは秘密鍵のみで複合化できます。
① ブラウザ又はアプリから、サーバー側とユーザー名・パスワードによる認証を行う。
② サーバーはアカウントの公開鍵によってアプリへチャレンジを送ります。
③ ユーザーはFIDOU2Fセキュリティトークンを接続し、確定ボタンを押すことで、仕込まれた秘密鍵で応答します。
④ サーバー側はその答えを認証し、認証に成功すれば、ユーザーのログインを許可しますが、失敗した場合はログインを拒否します。

FIDO U2Fはどんなシーンで使える?

Google、Facebook、Amazon、GitHub、Dropbox等、様々なサイトがFIDOU2Fトークンを利用するようになりました。
社内でFIDOU2Fをシステムのログイントークンとして利用する企業も多くなってきています。
例えば、Googleと米国Stripe社も飛天のBluetooth FIDO U2Fトークンを社員セキュリティトークンとして利用しています。
FIDOU2Fプロトコルは開放的な標準プロトコルであり、FIDOU2F プロトコルを対応する全てのアプリが市販の
U2F認証トークンを利用することができます。
インテグレーションの容易さとセキュリティ性の高さから更なる企業ユーザーを呼び寄せることでしょう。
サイバー攻撃のリスクが日々高くなる中で、人々のネットワークセキュリティ意識も高くなっています。
FIDOU2Fはユーザーのネットワーク資産を守る為のセキュリティの盾として、より多くの人に安全なセキュリティ認証環境を
届けています。