株式会社インターナショナルシステムリサーチ (以下、ISR)は、2021年9月30日にCloudGate UNO 専用の認証システムアプリCloudGate Authenticator に、新たにセキュリティ通知機能を搭載し「Pocket CloudGate」として提供を開始しました。
Pocket CloudGate リリースの背景には、昨年末に起きた史上最悪とも言われるある一つの大規模サイバー攻撃をきっかけに、変化していく攻撃者の手口に対応することを考えた機能設計があります。
テレワークが続く現在もなお危険に晒される可能性が高い企業の情報資産を守っていくためにも、Pocket CloudGate を活用し、企業のセキュリティレベルを上げていただきたいと考えています。今回のリリースに伴い、なぜこのサービスが誕生し、現在の機能を備えることとなったのか、そして今後も続くテレワークにおいてどのようなことを実施することが必要になるのかをお伝えできればと思います。
Pocket CloudGate 誕生の背景
変化していくサイバー攻撃の手口、
SolarWinds社へのサイバー攻撃でMFA突破を可能にした不正な端末登録
サイバー攻撃(ランサムウェア攻撃)の増加と手口の変化
チェックポイント社の2021年サイバー攻撃トレンド中間レポートによると、組織に対するサイバー攻撃は世界的に29%増加しており、2021年上半期の全世界の企業・組織に対するランサムウェア攻撃は昨年同期比で93%増加しています。
また、昨年末から現在までに世界で発生した大規模サイバー攻撃においては、2020年末にはAPT攻撃が見られましたが、2021年に入り企業を狙うランサムウェア攻撃へと進化していることが窺えます。ランサムウェア攻撃は攻撃から侵入、暗号化までを短時間で行うため、サイバーセキュリティ対策もこれに対応していく必要があります。
SolarWinds社へのサイバー攻撃
2020年末に発覚した、SolarWinds社を踏み台にしたサイバー攻撃は「史上最大級の複雑かつ高度なサイバー攻撃」とされ、9ヶ月もの長期にわたりアメリカの主な9つの連邦政府機関や大手IT企業を含む約100社が攻撃を受けました。
不正ログインを発見したFireEye社では従業員がVPNにアクセスする際、IDとパスワードを入力すると登録されているスマートフォンに固有のコードを生成、そのコードを入力するという多要素認証を利用していました。しかし、当時、新しいスマートフォンが出たことで登録端末の変更が増え、情報システム部がすべてに対応することが難しくなったために、一部の社員には自己登録を許可しており、攻撃者にとってチャンスとも言える状況でした。
そして攻撃者はあらかじめ入手していたIDとパスワードを使って従業員になりすまし、MFAを突破するための新規端末登録を行っていたのです。ところが、端末登録が行われたことに対する通知機能が備わっていなかったために、情報システム部やユーザー本人はそのことに気づくことなく、偶然気がついたセキュリティチームのエンジニアが本人に確認をとったことでようやく不正ログインが発覚しました。
これにより一連のサイバー攻撃が明るみになり、攻撃者がMFAを突破してVPNへのアクセスに成功していたことも明らかとなったのです。現在、テレワークでのセキュリティ対策として利用が増加するVPNですが、一度アクセスを許してしまうと、攻撃者は社内ネットワークの中を自由に動き回ることができるようになるという危険を孕んでいます。
今回の事件発覚のきっかけであり、問題でもあるMFAの突破について、要因は二つあると考えられます。一つは、一部ユーザーが新規端末登録を自身で行えるようになっており、それをIDとパスワード認証のみで許可していたこと。二つ目は、新規端末登録時にそのことを通知する機能がなかったことです。この二つの問題を解決する方法として、Pocket CloudGateが誕生しました。
Pocket CloudGate の機能と開発の背景 スマートフォンアプリにセキュリティ通知機能を搭載
※以下で使用しているアプリ名「CloudGate Authenticator(CGA)」は、「Pocket CloudGate」に名称変更予定です。
セキュリティ通知機能
スマートフォンを用いた生体認証によるMFAとして提供している認証システムアプリ「CloudGate Authenticator(以下 CGA)」にも、一部ユーザー自身で登録を行う機能もあるため、SolarWinds社の事件を受けて、その点を強化する必要があると考えセキュリティ通知機能をCGAに搭載することに決めました。
具体的には、パスワード変更やパスワードリカバリー、端末登録が行われた際に、CGAに通知を飛ばす機能を実装しました。管理画面ではなくエンドユーザー(利用者本人)に通知が飛ぶようにすることで、第三者による不正ログインがあった際にいち早く気がつくことができ、被害を最小限に抑えることが期待できます。
セキュリティ通知活用例
第三者によって追加端末登録がされた場合、アプリで通知を受け取ったユーザーは速やかにユーザーハブへログインしてパスワード変更を行い安全を確保したうえで管理者に通知、管理者は端末登録解除などの根本的な対策をとります。
メール通知ではなくアプリ通知、管理者への通知ではなくユーザー通知にした理由
メールでの通知や、管理者向けの通知も考えましたが、最終的にCGA(アプリ)に通知を飛ばすことにした理由は二つあります。
まず、アプリへの通知としたことについて。Eメールがアプリとして登録されている企業がまだ少ないのではないか、メールが飛んできた瞬間に気がつくチャンスがあるか、という懸念があり、メールはふさわしくないのではないかと考えました。一番身近にあり、すぐに確認できるもの、そして私用スマートフォンに登録できるもの、としてCGAが最適であると考えました。
次に、ユーザー通知としたことについて。管理者は毎日ずっと管理画面を確認しているわけではなく、誰かが登録したことに対してそれが本人であるかどうかの判断は難しいことがあります。また、真夜中に通知が来たとしても、管理者は操作がしづらいため、当事者(本人)に通知を飛ばすことがベストだという結論に達しました。
なぜ、ISRではこうした仕組みが実現できたのか?
私たちのサービスを利用しているお客様が、SolarWinds社の事件のような被害に遭うことは悲しいことであり、私たちの使命を果たせていないことにもなります。その結果、CloudGateをより安全なものにするにはどうしたらいいかをお客様の立場で考えたことで、今回の開発につながりました。これはISRの持つ「セキュリティファースト」という考えにそって取り組んだ結果だと思います。
また、「全力でお客様の情報資産を守る」という経営理念に基づき、環境変化に応えるために柔軟性を持って進化していかなければならない、そういった企業文化になっていることも理由の一つです。
ISRが今後目指すもの 不正登録通知から不正ログイン通知へ
今後は、不正ログインの検知に関する通知をさらに進化させていきたいと考えています。例えば、通常国内からアクセスしているユーザーが、突然海外からアクセスしてきたり、今まで使用していたブラウザとは異なる、まったく使用実績のないブラウザからアクセスがあったりした場合などが検知の対象となります。他にも、さまざまな不正検知のタイミングでユーザーに通知するといった、より高機能のものを提供するにあたっては、新たなプランを検討していく予定です。
