PCI SSCアジアパシフィックコミュニティミーティング 2024参加レポートの2回目は、ユーザー認証への攻撃と対応策をFIDOの観点から見たセッションの紹介です。PCI SSCのソリューション部門のディレクターである、マイク・トンプソン (Mike Thompson)さんの講演ですが、「フィッシング対策、よりセキュアな認証の仕組みとしてのFIDO認証、フィッシング対策に関連するPCI DSS V4.0.1の新しい要件への対応」という骨組みで構成されていました。

パスワードのみの認証は、推測しやすい簡単なパスワード、パスワードの使い回し、平文での保存などによって、ブルートフォース攻撃、セッション/トークンハイジャック、フィッシングに脆弱であることが分かっています。パスワードのみの認証を強化する方法として、多要素認証があり、パスワードが搾取されるリスクを減らすことができますが、多要素認証にも、フィッシング、中間者攻撃、SIMスワッピング等の脆弱性が存在します。

マイク・トンプソンさんは既存の認証方法の脆弱性を以下のように指摘しています。

• 単純なパスワード: 推測、クレデンシャルスタッフィング、フィッシング、セッション/トークンハイジャック、技術的回避、登録攻撃
• 複雑なパスワード: クレデンシャルスタッフィング、ブルートフォース攻撃、フィッシング、セッション/トークンハイジャック、技術的回避、登録攻撃
• 複雑でユニークなパスワード: ブルートフォース攻撃、フィッシング、セッション/トークンハイジャック、技術的回避、登録攻撃
• 複雑でユニークなパスワード + OTP: フィッシング、SIMカードハイジャック/スワッピング、セッション/トークンハイジャック、技術的回避、登録攻撃
• フィッシング耐性のある認証: セッション/トークンハイジャック、技術的回避、登録攻撃

既存のユーザー認証は、現在のセキュリティの根幹でありながら、重大な脆弱性を抱えています。特に、パスワードを中心とした認証システムは、以下のような課題に直面しています。

• 弱いパスワード: 81%のハッキング関連の侵害は、弱いパスワードや盗まれたパスワードが原因 (Ping Identity)
• ユーザーエクスペリエンスの低下: パスワードを忘れることで43%のユーザーが購入を諦める (FIDO Alliance)
• 多要素認証の限界: 2024年第1四半期には多要素認証関連のセキュリティイベントが50%増加し、そのうち25%は不正なプッシュ通知を含む (Thales)

更に、生成AIの普及により、フィッシング攻撃がより高度化しています。これを数値でみると、

• 資格情報を狙ったフィッシングが967%増加 (2022年第4四半期以降) (Slashnext)
• 悪意のあるフィッシングメールが1265%増加 (2022年第4四半期以降) (Slashnext)
• 消費者の54%が、直近2か月でフィッシングメッセージがより巧妙になったと認識 (FIDO Alliance)

PCI SSCは、上記のような脆弱性を減らす方法として、フィッシング耐性のある認証方式のFIDO認証の普及を例に挙げています。FIDOプロトコルに基づいたPasskeysは、パスワードの代替として機能して、より迅速で簡単かつ安全なサインインを提供します。Passkeysは、ユーザーのデバイス間で安全に同期され、FIDOセキュリティキーとしてデバイスに結び付けることもできます。FIDO認証は公開鍵暗号方式を使用し、パスワードに依存しません。これにより、パスワード漏洩やフィッシング攻撃のリスクを大幅に軽減できます。秘密鍵はデバイス内に安全に保存され、外部サーバーには共有されません。これにより、サーバーへの攻撃による情報漏洩を防ぎます。また、認証には指紋認証や顔認証、ハードウェアキーなどのデバイスを利用するため、不正アクセスを難しくし、すべてのデバイスやプラットフォームでサインインできるようになります。

Passkeysの長所は導入事例でも確認することができます。マイク・トンプソンさんが提示タ数値で見ますと、2022年10月以降、

• 世界のトップ100ウェブサイトの20%**がPasskeysを採用
• 世界のトップ250ウェブサイトの12%**がPasskeysを採用
• 96%以上のアクティブブラウザがPasskeysに対応
• 98%以上のモバイルデバイスがPasskeysに対応
• 130億以上のアカウントでPasskeysを利用

しています。

更に、大手企業のPasskeysの採用事例も挙がっており、日本の企業も成功事例として紹介されていました。

• TikTok: 初月で97%のログイン成功率、14%のユーザー採用率
• メルカリ: サインイン成功率が67.7%から82.5%に改善、認証時間が17秒から4秒に短縮
• Google: サインイン成功率が4倍に、サインイン時間が1/2に短縮、4億アカウント以上で利用
• Air New Zealand: 導入後24時間以内で30%のオプトイン、サインイン時間が4.7倍改善、50%の離脱率低下

パスワードのみの認証方法の脆弱性への対応を強化するため、PCI DSS V4.0.1では、多要素認証の強化を盛り込んでいます。

要件8.4.1では、非コンソール管理者アクセスにおいて、多要素認証を実施することが要求されています (フィッシング耐性のある認証を使うことができますが、他の認証要素と組み合わせて使用する必要があります。)。

多要素認証は、パスワードのみの認証よりは安全ですが、実装方法によっては、フィッシング耐性が弱いケースがあります。SMS認証/アプリ型OTP/電話認証/Eメール認証はフィッシング攻撃に弱いことが知られています。

これに比べて、FIDO2対応のハードウェアセキュリティトークンとパスワードレス認証(例：PKI(公開鍵インフラ)を利用したデジタル証明書)などは、フィッシング耐性が強い認証方法です。

要件8.4.1に対応するためには、フィッシング耐性の強い認証方法を組み合わせる必要があることに注意してください。

要件8.4.2では、CDE (カード会員データ環境)へのアクセスには多要素認証を実施することが要求されています (フィッシング耐性のある認証要素のみで認証されたユーザーアカウントにはこの要件は適用されません。)。例えば、PKI(公開鍵インフラ)を利用したデジタル証明書で認証する仕組みを採用していれば、多要素認証を実装しなくてもいいことになります。

この要件は、非コンソールアクセスに限定していないため、コンソールアクセスも対象になることに注意してください。

※2025年3月31日まではベストプラクティスですが、それ以降は必須要件になります。

PCI DSS V4.0.1には、8.4.1と8.4.2以外にも、認証方法の強化を目的として、V3.2.1の要件を強化したり、要件を新設しました。要件8.4.1と8.4.2対策を含め、認証に関わる他の要件への対策として、PCI SSCは以下のことを推奨しています。

• 12文字のパスワード要件を実装 (要件8.3.6。2025年3月31日まではベストプラクティスですが、それ以降は必須要件になります。)
• パスワードをフィッシング耐性のある認証に置き換え、12文字パスワードや多要素認証を気にせずに管理
• 非コンソール管理者アクセスに多要素認証を実装 (要件8.4.1)
• 管理者以外の非コンソールアクセスには多要素認証を実装 (要件8.4.2。2025年3月31日まではベストプラクティスですが、それ以降は必須要件になります。)
• 登録および認証リセットプロセスのセキュリティ強化 (推奨)
• 認証に関するセキュリティ (登録、リセット、認証トークン、OTP配信)の強化 (推奨)

これらの対応策を適切に組み合わせて実施することで、現在の認証システムの脆弱性を大幅に改善し、セキュリティリスクを軽減することができます。FIDO認証を中心としたフィッシング耐性のある認証方式は、セキュリティ向上とユーザー体験の改善を両立する重要なソリューションです。組織は、これらの技術を積極的に採用することで、現在の認証システムの脆弱性を克服し、より安全なデジタル環境を構築できます。

FIDOとPasskeysについてもっとお知りになりたい場合は、以下のサイトをご参照ください。