米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は2021年8月末、セキュリティーの「Bad Practices(やってはいけない)」のリストに「単一要素認証」を追加した。
単一要素認証とは、1つの要素(情報)だけで正規のユーザーかどうかを判断すること。通常はパスワードだけによる認証を指す。これに対して複数の要素を使う認証は多要素認証と呼ばれる。
やってはいけないリストが公表されたのは2021年6月。当初は「サポートが切れたソフトウエアの利用」と「既知/固定/初期設定のパスワードや認証情報の使用」の2項目だった。パスワードだけの認証は、これらと同程度に「バッド」だとCISAは呼びかけたのだ。
多要素認証が望ましいのが分かっていても、コストや利便性から単一要素認証を利用し続けている企業は多いだろう。
また「企業ネットワークに入るためのVPNは多要素認証だが、メールなどのクラウドサービスは単一要素認証」といった運用にしているという話もよく聞く。
だがクラウドサービス、特にメールについては今すぐにでも多要素認証にすべきだ。ユーザーID(メールアドレス)とパスワードだけでログインできてしまうと、「ビジネスメール詐欺」の格好の餌食になってしまうからだ。
被害額の4割以上がビジネスメール詐欺
ビジネスメール詐欺は企業版の振り込め詐欺。取引先などをかたった偽のメールを企業の経理担当者に送付し、攻撃者の口座に金銭を振り込ませる。Business Email Compromiseの略としてBEC(ベック)とも呼ばれる。
典型的な手口は次の通り。攻撃者はまず、2社の経理担当者がやり取りしている請求に関するメールを何らかの方法で盗聴する。
盗聴により両社の担当者や請求に関する詳細が分かったら、まずは請求側(B社側)の担当者になりすまし、支払い側(A社側)に攻撃者の口座を伝え、金銭を振り込ませる。
攻撃者は支払い側の担当者にもなりすます場合がある。確認中なのでもう少し待ってほしいと請求側の担当者に伝える。請求側の担当者が支払い側の担当者に電話などで確認させないようにするためだ。ただ、支払い側の担当者になりすませない場合には、このやり取りは省かれる。
