2020年の米国大統領選挙で当選したジョー・バイデン氏が、2021年1月20日に第46代米国大統領に就任しました。
2016年の選挙とは違い、2020年は民主党全国委員会(DNC:Democtaric National Committee)の選挙キャンペーンにおいて、外国からメールアカウントへの侵入と攻撃が阻止されています。なぜなら、2018年にユーザーIDとパスワードのみの認証ではなく、FIDOに対応したセキュリティキーを利用した多要素認証がメールアカウントのユーザー認証に利用されていたからです。このおかげで米国は認証新時代を迎えました。
このブログでは、4年前の2016年に選挙で起こったDNCへの外国からの攻撃を振り返りながら、バイデン氏勝利の鍵となったセキュリティキーを利用したFIDOの多要素認証についてご紹介します。
2016年米国大統領選挙 世界を変えた一つのフィッシングメール
米国だけでなく世界を揺るがしたドナルド・トランプ氏の大統領当選は、一つのフィッシングメールから始まっていました。このメールが世界を変えたとも言えるでしょう。
フィッシングメールとは
フィッシングメールとは、送信者を詐称した電子メールを送りつけたり、偽のメールから偽のホームページに接続させたりするなどの方法で、アカウント情報(ユーザネーム、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。
サイバー諜報事件の78%はフィッシングによって行われ、誰でも容易にフィッシング攻撃の標的になり得ます。
フィッシングメールとは
フィッシングメールとは、送信者を詐称した電子メールを送りつけたり、偽のメールから偽のホームページに接続させたりするなどの方法で、アカウント情報(ユーザネーム、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。
サイバー諜報事件の78%はフィッシングによって行われ、誰でも容易にフィッシング攻撃の標的になり得ます。
2016年3月10日、攻撃者は最初に29通のフィッシングメールをDNCのメールアドレスに送ったが不発に終わったため、3月21日に選挙キャンペーンマネージャーのジョン・ポデスタ氏(John Podesta)の個人のGmailアドレス(john.podesta@gmail.com)に目を向け、標的をシフトしました。同日、Gmailアカウントを装ってパスワードリセットの通知が届いたポデスタ氏は、偽装されたURLをクリック、パスワードを入力し変更作業を行いました。これにより、攻撃者はポデスタ氏のメール(5万件)を窃取しました。その中には、ヒラリー・クリントン氏が証券会社や金融業などのウォール街企業向けに、$220,000(約2200万円)という高額な講演料で享受していることを伝えるメールも含まれていました。
ジョン・ポデスタ氏に送られたパスワード変更要求メール:
2016年10月28日 Vox『How John Podesta’s email got hacked, and how to not let it happen to you』より引用
攻撃者はこれらの情報を提供し、これが大きくメディアで報道されることになったのです。クリントン氏はこのときのイメージダウンを回復することができず、11月8日の選挙でトランプ氏に負ける結果に繋がったのです。
攻撃者が個人メールアカウント侵入に成功した大きな要因は、パスワードの他に二要素目として携帯電話に届く生成されたコードの入力が必要なDNCメールアカウントではなく、パスワードのみの認証が設定された個人のGmailを標的としたからです。
ポデスタ氏は自身のせいで世界を変えたこのフィッシングメールの事件についてとても反省しています。キャンペーンの生命線ともいえる重要な情報のやりとりをするメールアカウントをなぜ、パスワードのみで守れると考えてしまったのかということを。そのため、現在ポデスタ氏は多要素認証を使っていると思われます。
ピックアップ
この事件は、私たちの仕事用アカウントだけでなく、個人用アカウントに対するサイバーセキュリティについても真剣に取り組むべきだという教訓となります。私達はログインの資格情報を保護する必要があり、もはやパスワードを使った認証だけでは不十分な時代になっています。 そんな中、多要素認証はオンライン上のデータを保護するための必須条件になってきています。
2020年米国大統領選挙 バイデン氏勝因の一つは“FIDOによる強固な認証”
パスワードに依存しない生体認証などを用いた安全なオンライン認証の標準化を目的として、FIDOアライアンスは、2014年にFIDO仕様の認証方式の一つであるU2F(Universal 2nd Factor)を設計しました。
そして、2016年の選挙の勝敗を決めたフィッシングメールによる攻撃から守るため、GoogleはU2F認証を導入し、2017年10月17日にGmail Advanced Protection Program (APP)を開始しています。
DNCはボブ・ロード氏を最高セキュリティ責任者として任命
DNCは2016年のトランプ氏の勝利を受け、2017年より外国からの攻撃から情報を守るためサイバーディフェンス強化するための投資をし、DNCは翌年1月にボブ・ロード氏(Bob Lord)を初めて最高セキュリティ責任者として採用します。
ロード氏は、ヤフーの最高情報セキュリティ責任者として、ヤフーユーザー数十億人へのメールアカウント攻撃対応など豊富な経験を持っています。ロード氏は、ヤフーの攻撃者を特定しFBI調査に協力、カナダで捕まった事件関与のフリーランスハッカーの裁判にも証言者として証言台に立っています。
DNCはAPPの導入で、サイバー攻撃を防止
ロード氏は、2018年9月にGoogleのAPPをDNCでも導入することを決定しました。 DNCで勤務する人だけでなく、その家族や関係者などの個人GmailアカウントもAPPに対応させ、Googleが選挙キャンペーンに無料でFIDO U2F対応するTitanセキュリティキーを提供したことで、ログインする際、パスワード入力に加えた2段階認証の多要素認証を実現しました。
ロード氏が2年間でDNCのスタッフにフィッシングなどへの攻撃対応訓練やサイバー教育を行いながらも、Titanセキュリティキーを使った2段階認証の徹底化に取り組んだことで、2018年の米中間選挙や2020年の大統領選挙では、選挙キャンペーンマネージャーのメールアカウントは侵害されず、またロード氏のDNCサイバーセキュリティチームもサイバー攻撃を受けることなく守ることができたのです。
パスワードレス認証、そして「認証維新」
FIDO2とは
FIDO2は、FIDO U2Fテクノロジーを次のレベルに引き上げ、パスワードを使わずにフィッシング攻撃に対する同等のセキュリティを提供します。 FIDO2は、FIDO U2Fのようにデバイスをセキュリティキーに限定せず、Android、Windows Hello、Touch ID / FaceIDなどのプラットフォーム認証器でも多要素認証を可能にします。
FIDO2とは
FIDO2は、FIDO U2Fテクノロジーを次のレベルに引き上げ、パスワードを使わずにフィッシング攻撃に対する同等のセキュリティを提供します。 FIDO2は、FIDO U2Fのようにデバイスをセキュリティキーに限定せず、Android、Windows Hello、Touch ID / FaceIDなどのプラットフォーム認証器でも多要素認証を可能にします。
2020年に行われた米国大統領選挙でのバイデン氏選挙キャンペーンにおいて、多要素認証の利用を徹底化したことにより、政府関係者を含めた多くの人がその重要性を認識したのではないかと考えています。その一方でISRは「安全かつ便利な認証を(Secure yet easy to use authentication)」のビジョンを基に日本での認証強化に長年実績を蓄積しながら努めてきました。
グーグルやマイクロソフトなどIT大手企業が加盟しているFIDOアライアンスは2012年に発足し、ISRは2014年に参加しています。
企業向けクラウド型認証サービスCloudGate UNOを通じ、2015年には多要素認証としてスマートフォンの生体認証機能を利用した専用アプリの提供を始めました。また、2019年からはセキュリティキーやWindows、Macbookを用いて顔認証や指紋認証を利用したパスワードレス認証を提供。2020年12月にはFIDO2に対応したTouch IDやFace IDといったスマートフォンやiPadを使った認証もいち早く企業へ提供しております。
さらに多要素認証を利用していても侵害に用いられやすいパスワード自体を使わない、早くて正確なサイバー攻撃に強い耐性のある、生体認証への変革が企業にも重要だと考えています。この変革をISRでは「認証維新」と呼び、一つでも多くのサイバー攻撃の被害拡大を阻止するためにも、2021年からパスワードに依存しない認証を広げ、日本の企業における認証の維新に努めていきます。
