[情報漏えい対策] 多要素認証を使用していない会社はハッキングに脆弱で深刻な被害

2018/10/05

1.jpg

「世間を騒がせることだけが目的の愉快犯」以外のほとんどのハッカーは、特定のサイトを攻撃することで何らかの利得を得ようとしています。そして、よりハッキングが成功しやすいターゲットを常に狙っています。従業員が自社のシステムにログインする際に、多要素認証を用いていなかったために深刻な事態になった例をご紹介します。

 

 

多要素認証が使用されていればハッキングが防げた例: Timehop

2.jpg

金融・決済の情報セキュリティに関する情報サイト PaymentsSourceの報告によると、過去の日付のソーシャルメディア投稿を閲覧するためのサービスである Timehop で、2100万件のユーザー情報が流出したとされています。流出した情報は、ID、パスワード、電話番号、そしてIDに紐づく各ソーシャルメディアの履歴です。

大規模なデータ漏洩の直接の原因は、Timehop 従業員のIDパスワード情報が漏えいしたことです。しかし従業員がシステムにログインする際に、多要素認証が導入されていればこの攻撃は成功しなかったと考えられています。多要素認証では、ID・パスワード認証(知識要素)以外に、別の要素による認証が最低1つは必要になるためです。

例えば、ID・パスワードが記載されたファイルや紙が盗まれたり、ネットからの攻撃により持ち去られたとします。ハッカーはこの情報だけで不正アクセスが可能となります。ID・パスワードという1要素だけで認証を行うことの危険さは、ここにあります。

 

 

「メガ・ブリーチ」による被害額は数億円から数百億円

3.jpg

さきほどご紹介した Timehop のように、個人情報を多く有する企業で大規模な情報漏えいが発生すると、何が起こるのでしょうか。

IBMは、100万件を超える情報漏えい事故(以下、メガ・ブリーチ)が1件発生したときの平均被害額を試算しており、100万件のメガ・ブリーチの場合は4000万ドル (44億円) 、そして5000万件のメガ・ブリーチの場合は3.5億ドル (388億円) に上るとしています。

なお、この被害額には、顧客対応やシステムの改修などにかかった費用だけでなく、事業が受けた影響も含まれています(総被害額の1/3が、事業が受けた影響となります)。これは、アメリカの消費者の75%が、顧客のデータ保護について信頼できない企業とは付き合いたくないという回答からも裏付けられます。

IBMのようなITソリューション企業が、自社の営業のために過大な数字を報告しているのではないか、というと、そうではありません。一例をあげてみましょう。

2014年に3,504万件の顧客個人情報が漏えいし、そのうち2,895万件が被害を受けたと認定したベネッセコーポレーションでは、260億円の特別損失に加え、2015年度から2016年度にかけて191億円の売上高が減少しています。情報漏えい件数を考えると、この数字の合算はIBMが試算した数字をむしろ上回っているほどです。

また、ベネッセコーポレーションの場合は主力ビジネスの「進研ゼミ」や「こどもちゃれんじ」の会員数も、ピーク時の420万人から271万人へと35%も減少しています。定期購読型の会員が減るということは、当年度の売上だけでなく、翌年度以降も大きな影響があることを意味するため、文字通り会社の存続にかかわる大打撃を受けたことになります。

 

 

多要素認証はコスト効果が高い情報漏えい対策

4.jpg

個人情報を狙うハッカーによる攻撃から、お客様の個人情報を守るうえで行うべき対策は数多くあります。システム側(サーバーサイド)の対策もあれば、従業員のパソコンやスマートフォン(クライアントサイド)の情報の取り扱いについての対策もあります。

数ある対策の中でも、従業員がシステムにログインする際の認証を多要素認証にすることは、費用対効果で極めて効果的といえます。多要素認証の仕組みを1から開発する必要はありません。シングルサインオン製品、多要素認証製品を必要なユーザーの数だけ導入し、ログインする各システムに合わせて修正を行うだけです。

こうした対策を行うことで、仮にシステム管理者のIDやパスワードがハッキングされたとしても、あらかじめ設定してある別の要素による認証が必要になるので、ハッカーは認証を突破できません。多くの製品では、複数回認証が失敗するとアカウントがロックするように設定できますので、情報漏えいが起こるリスクが激減します。

 

 

トラスト・ログインではじめる多要素認証 (ワンタイムパスワード)

5.jpg

多要素認証の中でも、最も手軽に導入でき、堅牢性が高いものとして「ワンタイムパスワード」が上げられます。かつては、物理トークンに表示される数字を入力するのが一般的で、ソフトウェア費用に加えてトークン費用が必要となっていましたが、現在ではスマートフォンの業務利用が普及し、スマートフォン上で「Google Authenticator」のような、多要素認証を利用する基盤が提供されています。このため、パスワードという「知識要素」とワンタイムパスワードという「所持要素」の二要素を使って認証を行うための負担が減っています。

当社が提供するクラウド型シングルサインオンサービス「トラスト・ログイン」では、クラウドサービスへのシングルサインオンを提供するだけでなく、各企業の自社システムへのシングルサインオンを可能とする仕組み、そして Google Authenticator を利用したワンタイムパスワードを提供しています。シングルサインオンの基本機能は無料で利用でき、オプションのワンタイムパスワードは月額100円 (1ユーザー) から利用できます。

万が一、情報漏えいが発生してしまった場合の被害額を考えると、トラスト・ログインのワンタイムパスワードによるセキュリティ向上は、極めてコスト効果の高いセキュリティ投資です。まずは、トラスト・ログインを登録頂き、貴社内でご評価ください。