CISA スバラシイ:一要素認証をバッド・プラクティスと認定する

CISA: Don’t use single-factor auth on Internet-exposed systems

2021/08/30 BleepingComputer — 今日のこと、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、一要素認証 (SFA : Single Factor Authentication) を、同機関が推奨するサイバー・セキュリティのバッド・プラクティスに追加した。CISA のバッド・プラクティス・カタログには、連邦政府機関が非常に危険と判断したプラクティスが含まれており、政府機関や民間企業のシステムが脅威にさらされる、不必要なリスクを負うことになるため、使用すべきではないとしている。

これらは、国家の安全保障や経済の安定性、国民の安全を担う重要インフラや国家基幹機能 (NCF : National Critical Functions) を支える組織にとって、例えようのない危険な行為だ。さらに、このような危険な行為は、脅威となる人物がリモートから侵入する可能性のある、インターネットに接続されたシステムでは、特に深刻だ。

企業には多要素認証への切り替えを推奨

この連邦政府のサイバー・セキュリティ機関が述べているように、SFA (ユーザー名とパスワードだけによる認証方法) が、リモート認証や管理者権限のあるアカウントへのログインに使用されると、きわめて危険になる。CISA は、「重要インフラや国家基幹機能 (NCF) の運用をサポートするシステムへの、リモートアクセスや管理権限を持つアカウントにおいて、一要素認証を使用することは危険であり、国家安全保障および、国家経済安全保障、国家公衆衛生安全に対するリスクを著しく高める」としている。

攻撃者は、さまざまな手法 (フィッシング/キーロギング/ネットワークスニッフィング/ソーシャルエンジニアリング/マルウェア/ブルートフォース攻撃/クレデンシャルダンピングなど) により、簡単にパスワードを窃取/推測できる。そのため、このようなセキュリティの低い方法で保護されたシステムは、容易にアクセスされてしまう。さらに言えば、管理者によるパスワードの共有/再利用も、攻撃者が SFA で保護されたシステムへの、侵害リスクを高めることになる。多要素認証 (MFA: Multi Factor Authentication) に切り替えることで、脅威となる人物が攻撃を成功させることは非常に難しくなり、不可能にさえなる。

Google / New York University / University of California San Diego の共同研究によると、MFA を使用することで、自動化されたボットを最大で 100%、大量のフィッシング攻撃を 99%、標的型攻撃の 66%、ブロックできることが分かっている。また、Microsoft の Director of Identity Security である Alex Weinert は、「パスワードは重要ではないが、MFA は重要だ。我々の調査によると、MFA を使用した場合、アカウントが侵害される可能性は 99.9% 以上低くなる」 と述べている。ちなみに、バッド・プラクティス・リストの他の2項目は、耐用年数が終了した (サポートが終了した) ソフトウェアの使用と、デフォルト (既知) の認証情報の使用でである。

管理者と IT 担当者の協力を要請

また、CISA は、GitHub に Bad Practices Discussions Page を開設し、IT 専門家や管理者によるフィードバックの提供や、防御に関する専門知識を共有を推進していく。同機関がリストへの追加を検討している、サイバー・セキュリティのバッド・プラクティスは以下の通りだ。

・ 脆弱な暗号関数やキーサイズの使用
・ フラットなネットワーク・トポロジー
・ IT と OT のネットワーク混在
・ 全員が管理者であること (最小権限の欠如)
・ 過去に侵害されたシステムを無害化せずに利用すること
・ 未管理ネットワーク上での、機密性の高い、暗号化/認証されない通信
・ 不十分な物理的な管理

CISA は、「これらの不適切な行為は、すべての組織において回避されるべきものだが、重要インフラや国家的重要機能を支える組織においては、とりわけ危険である。すべての組織が Bad Practices の Web ページを確認し、Bad Practices に対処するために必要な行動や会議を推奨する」と述べている

イケてる CISA ですね。ほんと、素晴らしいです。これを推進するだけで、どれだけのセキュリティが担保できるかと考えるだけで、ワクワクしてきます。奇しくも、日本ではデジタル庁がスタートしますが、アレをやる、コレをやるだけではなく、ダメなものを明示するという切り口もありだと思います。一要素認証をバッド・プラクティスに認定し、政府機関や重要インフラに要請して、従わないところは実名を公表するというパターンは如何でしょうか?

%d bloggers like this: