Vol.7 No.3 2014
46/76

研究論文:漏洩に強いパスワード認証とその応用(古原ほか)−182−Synthesiology Vol.7 No.3(2014)が打ち込むべきOTPも求まる。1.4 クライアント側からの情報漏えいに対する脆弱性図2に端末や記録媒体等の紛失・置き忘れおよび盗難により発生した情報漏えい事件の件数をまとめておく。この図は、日本ネットワークセキュリティ協会の「情報セキュリティインシデントに関する調査報告書」[15]に掲載されている2005年から2011年までの統計データから作成している。2007年くらいまでは漏えい件数は順調に減少しているが、これはそれ以前に多発した情報漏えい事件に対処するため会社や組織等においてPCや可搬媒体の持ち出し制限が進んだことによるものと思われる。しかし、2007年以降はその効果も鈍化し、年間300件以下への削減が難しくなっている。これらの数値はあくまで報道により明らかとなった大規模事件によるもののみであるが、報道されなかった小規模の事件を含めるとその数はさらに増えると思われる。その上、今後はスマホやタブレットPC等の小型かつ高機能端末を持ち歩く機会も増え、それに比例して端末の紛失・置き忘れおよび盗難件数も増加すると予想される。クライアント端末には、認証方法によりパスワードで暗号化された暗号鍵、端末に記憶させたパスワード等、遠隔ユーザー認証に必要な情報が記録されており、これらが漏えいするとユーザーへの成りすましやユーザーのパスワードの特定が可能となる。表1において「PKI相互認証」と分類している方式では、クライアント端末にユーザー認証用の鍵が保存され、通常、その鍵はパスワードで暗号化されている。そのため、攻撃者がこの端末を入手できれば、このパスワードと鍵をオフライン全数探索により求めることが可能となる。1.5 フィッシング詐欺への脆弱性表1において「PKIサーバー認証+PW」および「PKIサーバー認証+PW+OTP」と分類している方式では、ユーザーとサーバーとの間に暗号化通信路が設立され、その後、ユーザーの打ち込んだパスワードやワンタイムパスワード等がその暗号化通信路を通ってサーバーに伝えられる。サーバー側では元のパスワードやワンタイムパスワードが復号され、正しい値と比較されることによりユーザー認証が行われる。通信路は暗号化されているため、盗聴されたとしてもそこを流れたパスワードやワンタイムパスワードを得ることはできない。しかし、攻撃者は例えば「あなた銀行口座の暗証番号が漏えいしています。以下のホームページから早急にパスワードの変更を行ってください。」などと記載したスパムメールを送り付けるなどさまざまな方法でユーザーを攻撃者の用意した偽サーバーに導き、ユーザーのパスワード等の情報を盗もうとする。「PKI相互認証」と分類している方式では、ユーザーのパスワードがサーバーに伝えられることはないが、認証後に打ち込んだ情報(例えば、クレジットカード番号や個人情報等)は盗られてしまう。これらPKIを使った方式には、偽サーバーに繋がった際にユーザーに警告を出す仕組みがあるが、悪意のないサーバーが警告の出る公開鍵証明書を利用していたり、偽サーバーに誘導され出された警告をユーザーが無視したり、漏えいした秘密鍵が悪用され警告すら出ない偽サーバーがあったりして有効に機能していない。これに対して、PAKEおよびLR-AKEでは、パスワードがサーバー側に伝えられることもなければ、正規のサーバーでエラーが出ることもな表2 サーバーからの情報漏えい事件の例図2 クライアント側からの情報漏えい件数ソニーPSNの情報漏えい[12]米シティグループの情報漏えい[10]米Yahoo!の情報漏えい[9]ヤフーの情報漏えい[8]OCNの情報漏えい[7]アドビシステムズの情報漏えい[6]内容情報漏えい事件不正アクセスにより約290万件の顧客情報が流出した可能性があると発表された(2013年10月)。不正アクセスによりOCNのアカウント情報約400万件が外部に流出した可能性があると発表された(2013年7月)。不正アクセスにより約148万件の利用者IDおよびパスワード再設定用の「秘密の情報」などが流出した可能性が高いと発表された(2013年5月)。サイバー攻撃により約40万件のユーザーのログイン認証情報が外部に流出した(2012年7月)。不正アクセスにより約21万件のクレジットカードの顧客情報が流出し(2011年6月)、その流出カード情報の不正利用による被害総額が2億円を超えた[11]。ソニーのPSN(PlayStation Network、利用者7,700万人)およびQriocityへの不正侵入により大規模な個人情報流出が起きた(2011年4月)。この事件によりソニーは英国で約3,500万円の罰金支払い命令を受けた[13]。報道された事件の件数西暦盗難紛失・置き忘れ合計20112010200920082007200620050100200300400500600700

元のページ 

page 46

※このページを正しく表示するにはFlashPlayer10.2以上が必要です