メインコンテンツへスキップ
MFAとDMARCでオンライン上の身元を保護しましょう

MFAとDMARCでオンライン上の身元を保護しましょう

2023年1月4日
エコシステムニュースメール技術セキュリティ・インサイト

FBIの報告によると、2021年にはサイバーセキュリティ攻撃による被害額が69億ドルに達した。これは2020年比で64%の増加である。FBIが受け付けた被害届のうち、約33万件がフィッシング詐欺によるもので、昨年のインターネット犯罪の中で断トツの首位を占めた。

銀行や保険会社、オンラインストア、住宅ローン業者、その他の組織から、多要素認証(MFA)――別名、二要素認証(2FA)や2段階認証(2SV)――を有効にするよう勧められることは、誰しも経験があるでしょう。サイバー脅威や組織のサイバーセキュリティ体制を強化する方法に関する記事でも、同様の助言がされています。それには十分な理由があります。

かつては、オンラインアカウントのセキュリティを守るにはパスワードさえあれば十分だと考えられていましたが、ここ数年でコンピューターの処理能力は格段に安価になり、アカウントをハッキングするためのリソースも劇的に手頃な価格になり、広く入手可能になりました。

サイバー犯罪者がアカウントへのアクセス権を奪うためによく使う手口の一つは、偽のログインページへ誘導するフィッシングメールを送ることです。ユーザーがユーザー名とパスワードを入力すると、犯罪者はその認証情報を盗み取ることになります。多くの人が複数のアカウントで同じパスワードや、わずかに変えただけのパスワードを使用しているため、認証情報を入手した悪意のある攻撃者は、ユーザーの他のオンラインアカウントへのアクセスも試みることがあります。

パスワードの基準

パスワードの基準は、ソーシャルエンジニアリングやパスワードの推測による不正アクセスを防ぐため、長年にわたり強化されてきました。オンラインアカウントで、大文字、数字、特殊文字の使用や、文字数の最低要件が求められるようになった頃を覚えていますか?

最近では、パスワードの代わりにパスフレーズを入力するよう求められるケースが増え、用語の変化が見られます。その背景には、フレーズの方が複雑でハッキングされにくく、かつ覚えやすいという考えがあります。しかし、フィッシングメール、ブルートフォース攻撃、マルウェア、ダークウェブで購入した認証情報、あるいは巧妙な推測など、犯罪者たちは依然として侵入に成功しています。

オンライン上の本人確認と認証情報の漏洩リスクを排除するための次の段階として、パスワードを不要にする方向へと動きが進んでいます。パスワードにまつわるセキュリティ上の問題を受けて、Apple、Google、Microsoftは「ナショナル・パスワード・デーFIDOアライアンスワールド・ワイド・ウェブ・コンソーシアム(W3C)が策定した共通のパスワードレス認証規格への対応を拡大すると発表しました。 この新機能により、ウェブサイトやアプリは、デバイスやプラットフォームを問わず、一貫性があり、安全で、簡単なパスワード不要のサインインをユーザーに提供できるようになります。」この新しいサインイン機能は、2023年中に順次導入される予定です。

多要素認証

パスワードに加えてオンライン上の身元を証明・保護するための第2の認証手段として、MFAは認証プロセスにおける二重確認の役割を果たします。パスワードが不要となる包括的な未来が実現するまでは、組織がすべてのデバイスやアプリケーションに対してMFAを設定し、その利用を義務付けることが極めて重要です。そうすることで、犯罪者がアカウントや、そこに含まれるデータ、アクセス権限にアクセスするのを防ぐことができます。

NISTは、認証の基盤となる要素として以下の3つを挙げています

  • あなたが知っているもの(例:パスワード)
  • あなたが持っているもの(例:IDバッジや暗号鍵など)
  • あなた自身に関するもの(指紋やその他の生体認証データなど)

他の業界でも、アカウントの保護においてMFAの重要性が認識されています。攻撃や保険金請求、コスト、支払額の増加に伴い、保険会社は組織のサイバーセキュリティ体制を評価するため、セキュリティ対策について言及するようになっています。保険引受担当者は、サイバー保険の申込書において、MFAやDMARCといった基本的なサイバーセキュリティ対策について質問することがよくあります。

しかし、MFAが導入されて以来、すべてのMFAソリューションが同等のセキュリティレベルを備えているわけではないことが分かってきました。犯罪者たちは、主にフィッシング攻撃を利用して、一部のMFA手法を悪用する方法を編み出しています。私たちの友人であるロジャー・グライムズ氏がまとめた、フィッシング攻撃に強いMFAのリストは一読の価値があります。

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、こちらで詳細を解説しており、さらに最近ではMFAに関する2つのガイダンス、「フィッシング対策型MFAの導入 および「MFAアプリケーションにおける番号照合の導入」を発表しました。

DMARCに関するガイダンス

これらの推奨事項は、電子メールへの信頼性を高めるためにDMARCおよびその基盤となる認証規格であるSPFとDKIMを導入するよう求めた、NISTによる2019年の勧告を補完するものです。その後2022年、CISAはNISTと連携して、情報技術および運用技術の所有者に向けた推奨事項(一連のセキュリティ対策を含む)である、サイバーセキュリティのパフォーマンスに関する基本目標を発表しました。

第8.3節「電子メールのセキュリティ」では、「なりすまし、フィッシング、傍受といった一般的な電子メールベースの脅威によるリスクを軽減する」ために、DMARC、SPF、およびDKIMの導入が推奨されています。MFAとDMARCを組み合わせることで、攻撃を抑制し、ドメインを保護し、インターネット上で安全で信頼性の高いサービスを構築することができます。

DMARCを推奨しているのは米国だけではありません。EUもまた、SPF、DKIM、DMARCを含む電子メール通信のセキュリティ基準を策定しています。「インターネット上の通信は、国際的に採用された一連の基準によって規定されています」と欧州委員会は述べています。「これらの基準により、接続されたサーバーやデバイスは、メッセージの送受信方法を正確に把握することができます。技術の進歩や脅威の変遷に伴い、インターネットのセキュリティを向上させるための新たな基準が策定されています。」

認証システムの強度は、主にシステムに組み込まれている要素の数によって決まります。採用される要素が多ければ多いほど、認証システムは堅牢になります。

NIST

DMARCの導入や、パスワードの代わりにパスフレーズを使用することに加え、アカウントの安全性を確保するためにMFAの活用をお勧めします。

当社のDMARC管理プラットフォームには、MFAソリューションが組み込まれています。当社のMFAセキュリティ機能では、Authy やGoogle Authenticatorなどのアプリによるトークン認証、あるいはYubikeyや Nitrokeyといった物理的なセキュリティキーに対応したFIDO Universal Second Factor(U2F)による認証が可能です。

あなたのメールを信頼している人々を、DMARCで守りましょう。

さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。

サイバーセキュリティDMARCのメリット多要素認証(MFA)

関連記事