Security Strings News 2014.9.2
 
ご挨拶
お客様 各位
お世話になっております。Security Stringsの辻根です。
9月よりSecurity Strings Newsと題し、メルマガを配信させていただきます。(毎月第一火曜日を予定)
日本市場の動向、海外市場の傾向、及びSwivelソリューションのTech Information等々をお届けする所存です。お時間のある時に、お気軽にお読みいただければ幸いです。
今後ともどうぞよろしくお願い申し上げます。
 
 
【アナリストの目】不可解なANAのWebパスワード変更

全日空(ANA)のWebサイトに対してパスワードリスト攻撃による不正ログインが行われ、マイルが第三者によってiTunesギフトコードに交換されてしまうという被害が発生したことで、2014年3月10日から「iTunesギフトコードへの交換サービス」を停止していた全日空が、あらたなパスワード認証を9月4日より導入し、「iTunesギフトコードへの交換サービス」12月上旬には再開することを発表しました。
事件発生から半年近い時間をかけて導入される今回の再発防止策は、Webパスワードの採用でした。報道によると従来から認証に用いられていた「AMCパスワード」は、数字4桁しか設定できない仕様のため、逆総当たり(リバースブルートフォース)攻撃によってパスワードが容易に特定されるおそれがあるなど、セキュリティ専門家による危険性の指摘もあり、利用者からも不満の声があがっていたとのことです。
これらの指摘を受けて、今回、ウェブサービスにおける「AMCパスワード」による認証を中止し、あらたにアルファベットの大文字、小文字と数字が利用でき、8桁から16桁までのウェブパスワードを9月4日より導入するということです。

Webパスワードの導入でさらに脆弱に?
しかし、この対応策には大きな疑問が残ります。そもそも今回の問題の発端は、ブルートフォースではなく、パスワードリスト攻撃です。パスワードリスト攻撃とは、多くのウェブサービスの利用者が、異なるサービスであっても同じパスワードを設定しているために、どこかのウェブサービス・サイトからIDとパスワード(パスワードリスト)が漏洩するとその情報が悪用され、不正ログインが成功してしまうという現象です。したがって、マイレージ会員が、今回導入されるWebパスワードに他のサービスで使用しているパスワードと同じものを設定すれば、何の問題の解決にはなりません。パスワードの桁数を4桁から増やしたところで、パスワードリスト攻撃には全く意味をなさないでしょう。むしろログインパスワードが4桁というウェブサービスの方が今時珍しいぐらいですから、8桁から16桁という非常に一般的なパスワード長とすることで、他サイトのパスワードを使い回すことが容易になり、むしろパスワードリスト攻撃に対してより脆弱になったとも考えられます。
全日空もログインIDとしてマイレージ会員番号以外にもフェイスブック、ツィッター、グーグル+、マイクロソフト、ミクシーのIDとパスワードでログイン出来るようになっています。マーケティングへの応用を優先し、これらのIDを入手したいとの思いから他社IDによるログインを可能とすることは、マーケティング戦術の一つではありますが、こういったこともセキュリティを脆弱にすることを認識すべきでしょう。

望まれる本質的な対策
数字4桁のパスワードは、ブルートフォース攻撃に対して脆弱だという専門家の指摘ももっともですが、ブルートフォース攻撃に対抗するためには、パスワードの試行回数を制限し、間違ったパスワードの入力が続けて行われた場合には、アカウントを一時的にロック(閉鎖)してしまうことが基本ですし、ブルートフォース攻撃は、ファイアウォールで検知できるのでファイアウォールの機能で遮断するなどの二重の対策が施されることで、完全ではないにせよ防御できます。今回の全日空の対応は、パスワードリスト攻撃とブルートフォース攻撃への基本的な対策を理解していると思えません。
IDの相互利用の動向は止めようがありませんが、一方でパスワードリスト攻撃による被害の可能性は、今以上に高まることが予想されます。今回、全日空が採用すべき対策は、ワンタイムパスワードの導入だったはずです。毎回、異なるパスワードが求められるワンタイムパスワードによる認証システムは、パスワードリストの漏洩にも対抗できる優れもので、金融機関では、急速に採用する傾向があります。

ユーザーエクスペリエンスを変更しないSwivel
Swivel Securityが提供するPINsafeを使用すれば、4桁のPIN番号を入力すればワンタイムパスワードを生成して認証されるという優れものです。つまり、マイレージ会員は、従来通り4桁のAMCパスワードを入力するだけで、ブルートフォース攻撃にも、パスワードリスト攻撃にも対抗できる環境に移行できる画期的な認証システムです。Webパスワードの導入でさらに被害が拡大しないうちに、ぜひ、PINsafeの導入を検討されてはどうでしょう。
 
 
 
エンジニアのここに注目!

Web認証におけるSwivel構築方法

インターネットを介した認証では、ANAの事例のみならずパスワードリスト攻撃、パスワードハッキングへの対策を講じる必要があります。一般的には、これらへの有効な解決策がワンタイムパスワードであると言われています。Swivelは、このワンタイムパスワードを、
  • ユーザフレンドリーに、
  • トークンを使わないで(管理者フレンドリーに)
実現します。
さらに、あらゆるシチュエーションを想定した二要素認証に対応していますので、非常に有効なソリューションであるということができます。
Swivelを使用してワンタイムパスワードによるWeb認証環境の構築例を以下に記述したいと思います。

まず、最も簡単にSwivelを組み込む方法は、Swivel PHPモジュールを使用した構築です。 PHPベースのWebサイトとPINsafeを統合するためのサンプルファイルがSwivel Knowledgebaseに掲載されています。
このページに記載されているサンプルとSwivel Filterを使用すると、右図のようなWebの認証環境を比較的簡単に構築することができます。Swivel Filterはこちらからダウンロードできます。

各モジュールの構成は以下の通りです。
  • swivel_client.php - PHPのAPIライブラリの拡張版
  • config.phpファイル - 構成設定ファイル
  • swivel_filter.php − Swivelサーバと連携するためのモジュール
  • image.php - チューリングイメージプロキシ
  • login.php - ログインページ(例)
  • logout.php -ログアウトページ(例)
  • login.css - ログインページのスタイルシート
  • config.xml - スイベルサーバーの設定ファイル
上記はPHPでの事例ですが、Javaスクリプトでも同様のロジックで構築可能です。詳細はこちらのSwivel Knowledge Baseに記載されています。
他社のトークンレスワンタイムパスワードに比べて格段に使いやすい、Swivelのワンタイムパスワード認証を簡単にお客様に体感いただくことができます。ぜひ一度お試し下さい。
 
 
 
【湘南通信】

8月も終わり、湘南の各ビーチの海の家も解体が始まり、静かなビーチの季節を迎えようとしています。
メルマガでは、私のホームタウン:茅ヶ崎を中心とした湘南の情報をお届けします!
第一回目は、茅ヶ崎の海水浴場、「サザンビーチちがさき」に関してです。

茅ヶ崎の海水浴場の歴史は以外と古く、1898年にオープンしています。明治〜昭和にかけて多くの著名人の別荘、企業の保養所施設があった地域で、その人達の海水浴場として利用されていたようです。昨年まで、サザンビーチの前にパナソニックの保養所がありました。残念ながら、昨年取り壊され、その跡地にマンションが建設されました。これも時代の流れでしょうか。
近年、海水浴客の減少が続き、1999年に「茅ヶ崎海水浴場」から「サザンビーチちがさき」に改名し、海水浴客が増え始めたそうです。この改名は、ご存知の通り、茅ヶ崎市出身のサザンオールスターズ:桑田圭祐さんにちなんでです。お陰様で海水浴客も増加し、サザンオールスターズのファンの方々も多く訪れているようです。特に写真の茅ヶ崎"C"のモニュメントは、サザンオールスターズのCDジャケット「I AM YOUR SINGER」に使用されています。この"C"モニュメントで、多くの人が"縁結び" (Cの切れた部分に立ち、両手で円を繋いで)ということで記念撮影を楽しんでいます。そして、海水浴場の改名と同年の1999年に、駅からサザンビーチに通じる商店街も「サザン通り商店街」と改名されました。
サザンビーチちがさきでは、毎年8月の第一土曜日に「茅ヶ崎花火大会」も開催され、今年で40回目でした。規模は小さいながら、茅ヶ崎市民にとって欠かせない楽しい夏の風物詩となっています。
サザンビーチでは花火大会以外にも年間を通して各イベントやお祭りが開催されています。また、サザン通り商店街には、数多くの人気レストランやショップが立ち並んでいます。それらの情報は、また次回以降にお伝えしたいと思いますので、お楽しみに!



 
 
本メールは、過去に弊社出展のイベント・セミナー等でアンケートにご回答いただきましたお客様、名刺交換をさせていただきましたお客様、
弊社Webサイトより登録されたお客様へお送りしております。
本メールに掲載された内容の無断複製・転載を禁じます。
本メールの配信停止をご希望の方は、marketing@securitystrings.com までご連絡下さい。
Security Strings 合同会社 | 東京都千代田区一番町6番地 相模屋本社ビル7F