複数の証券会社にて不正事案が発生し、リスクベース認証の認知度が上がってきたと感じます。このことからリスクベース認証の長所や短所、そして留意点に加え、昨今の証券会社における不正事案の中でも要因の1つではないかといわれており、かつ、一般的なリスクベース認証では対応できないと思われている "マルウェア" を検知する高度なリスクベース認証を、テクニカルセールス落合が紹介します。以下が本稿のアジェンダとなりますので、ご興味あるところからご参照いただければと思います。
本稿のアジェンダ
リスクベース認証の概要について:
リスクベース認証の基本動作は、名前の通り、リスクを基準にして認証を行うかどうかを判断するソリューションです。
そのリスクを判断する例としては、利用者が利用したいサービスの認証を行うタイミング(ログイン成功の後)で、端末やOS、IPアドレスやブラウザなどの要素を使い、いつもの利用環境と異なるかどうかを判定するといったものです。その判定にて、普段と異なる利用環境であるためリスク有りとなった場合は、追加で認証を行ったり、サービスの利用を制限する・もしくはその挙動を行うための判断材料を提供するといったことを行うのがリスクベース認証となります。
リスクベース認証を行うメリットとして(サービス提供者のジレンマ):
大きく2点あります。1点目は利便性を考慮したリスク評価が行える事であり、2点目はサービスにログインする全利用者に対してリスク評価を行える点です。
1点目を詳しくみていきます。一般的にセキュリティーは強度を上げようとすると利用者の利便性は落ちるトレードオフの関係にあります。認証において見てみますと、以下図のようにNIST SP800-63では本人確認の要素の定義として、記憶(ID・パスワードなど)、所有(デバイス情報など)、生体情報といった大きく3つの要素に分類されます。セキュリティー強度を上げる手段として、多要素認証、二要素認証と呼ばれる方式を実施する場合、例えば、記憶(ID・パスワード) に加えて、所有(ワンタイムパスワード)と、複数の要素を使った認証を行うことが考えられますが、ユーザー視点で処理を見ていきますと、記憶、所有の2つの要素に対しての認証する ”手間” が発生する事になります。
この ”手間” について、リスクベースを利用した際にどうなるかを見ていきますと基本的に、
記憶(ID・パスワード) と、所有(デバイス)にて判断をする動きになります。所有(デバイス)については、先に紹介しました端末やOS、IPアドレスやブラウザなどの要素が入りますが、リスクベース認証におけるこれら所有(デバイス)の要素は、ユーザーが特に操作をすることなく取得できる情報であるため、ユーザーにとっては普段のID・パスワードを使うログインをしながら、追加の操作をすることなく(利便性を損なうことなく)、セキュリティー強度を上げられるメリットがあります。
2点目のサービスにログインする全利用者に対してリスク評価を行える点を見てみます。
まずは以下フィッシング対策協議会による “インターネットサービス利用者に対する「認証方法」に関するアンケート” (https://www.antiphishing.jp/wg_auth_report_202307.pdf)から抜粋し、要約したものを図にしたものを紹介します。
以下順不同で、お伝えしたいポイントを流れに沿って記載しますと、
Q46にて、インターネットサービスを重視項目として、安全性か利便性かを問われた時、安全性を求める回答者が2/3 程でした。そしてQ42にて、いざ安全性を高めるための操作を実施することになった場合に、対応できるユーザーが1/3程であり2/3程のユーザーは実施しない結果になるという、サービス運用者にとってジレンマが出る結果が出ています。その一方でリスクベース認証を利用すると、ログインする全ユーザーに対して、Q9のように、最もユーザーの理解が進んでいるパスワード、ログインを使ってリスク評価を行えるという特筆すべきメリットがあるのです。その一方で以下のようなデメリットと留意点がある事を意識する必要があります。
リスクベース認証のデメリットについて:
ひとことでいえば運用です。リスクベース認証はリスクがある、つまり不正と疑わしい通信に対してアラートをします。そのため疑わしい通信に対して本当に不正であったかどうかを判定する仕組みや運用が必要となりますし、疑わしいといったアラートではあるものの調査をしていく中で正常通信であった(いわゆる過検知)と判明することもあります。疑わしい通信は全て追加認証を出せば良い、もしくは、疑わしい通信は全て止めるといった思い切った運用がとれると良いのですが、そうもいかないものと考えられます。このため不正自体の検知率は高く、その一方でアラート数自体は極力少なくするといったソリューションを利用するのが望まれます。
リスクベース認証の3つの留意点について(マルウェアも検知する高度なリスクベース認証について):
3つの留意点として紹介するのは、a.監視ポイント、b.利用者自身の端末に対しての監視ポイント、c.マルウェアの視点での監視、について記載します。
a.監視ポイントについて:
昨今のWebサービスは、PCからの操作でログインするのみではなく、モバイルからログインを行う経路もあります。つまり、これら複数の経路に対してリスクベース認証による判定が行われているかどうか。もし行われていないのであれば別の視点からセキュリティーによる保護が行われていないかどうかという視点です。例えばモバイルからの経路にてリスクベース認証を行っていない場合は、FIDOなどの生体認証を実施するために不正が入りにくい環境になっているかという点があげられます。ただこの場合、次に記載します、本人が利用する端末で不正が起こった場合も検討に加えて欲しいところです。
b.利用者自身の端末に対しての監視ポイントについて:
インターネットバンキングの不正送金の例においても、マルウェアを経由した本人端末からの不正処理や、サポート詐欺のように攻撃者が利用者自身で送金を実施するよう誘導するようなケースでは、デバイス情報に頼るリスクベース認証は突破(回避)される懸念があります。このため、これらのケースに対応できるかどうかは留意するポイントです。
c.マルウェアの視点での監視について:
最近の不正アクセスでは、企業側においても認証情報を奪うケースが増えてきています。そして個人においてもこの動きはマルウェアからもみて取れます。マルウェアの中にはユーザーが操作する認証情報を盗聴するものもあれば、追加認証までも盗聴するマルウェアがあります。追加認証も盗聴するマルウェアの場合、一般的なリスクベース認証では無効化されてしまいますので留意が必要です。
デメリットの緩和と3つの留意点への対応について:
このBlogで最終的に紹介したいTrusteer Pinpoint Detect においては上記3つ留意点全てにおいて監視能力を持つ高度なリスクベースソリューションといえます。次回はこの3つの留意点とデメリットの緩和におけるTrusteerソリューションの対応について述べていきます。