セキュリティ 認証のセキュリティ

Categories:  MCA Security

1.認証のセキュリティ

コンピュータシステムでの情報セキュリティでは情報の機密性と完全性、可用性の保護が必要です。

可用性の保護に関しては適切なアクセスコントロールにより実現されますが、適切なアクセスコントロールの前提になるのは認証の機能です。

コンピュータセキュリティの世界で認証という言葉は以下の2種類の意味でつかわれています。

  1. システム利用ユーザーの権利の正当性の検証
  2. データの改ざん、差出人の詐称行為がされていないことの確認

そのうち前者に対しての認証は多くはアカウント名とパスワードによるパスワード認証が用いられています。そのほか、より高度な認証方法として現在はバイオメトリクス認証(生体認証)などの生態的特徴を用い個人を認証する方法もあります。ここではパスワード認証による脆弱性、脅威について記述いたします。

 

2.認証の脅威

パスワードによる認証による脅威としてパスワード解析とパスワード推測の二つの脅威があります。

(1)パスワード施行攻撃

  1. 単語辞書を用意し辞書内の単語をパスワードとしてログオンを試みる辞書攻撃
  2. すべての文字の組み合わせをパスワードとしてログオンを試みる、ブルートフォース攻撃、総当り攻撃と呼ばれる攻撃

(2)パスワードの盗聴

パスワードの盗聴はスニファングやリプレイ攻撃という手口でネットワークを盗聴することにより実行されますスニファニングとは英語のsuniffingのことで「クンクン嗅ぎまわる」を意味し認証にかんするパケットを盗聴しそこに含まれるユーザーアカウント、パスワードを盗聴します。

リプレイ攻撃とは正規の認証操作でやり取りされたパケットを攻撃者が盗聴してそれをそっくりそのまま送り付けることで認証の突破を図ろうとするものです。

こういったリプレイ攻撃への対抗策としてパケットに通し番号(シーケンスID)を割り当てる方法があります。その場合リプレイ攻撃によって過去に送信されたパケットの場合、同じ通し番号が使用されるため、リプレイ攻撃であるいと認識し認証を防ぐことができます。

[脅威への対策]

  1. IPSecなどの暗号化プロトコルを認証に使用
  2. CHAPなどのパスワード暗号化のプロトコルを用いネットワーク上に流さない認証方式の使用
  3. セッションごとに固有の暗号キーを使用
  4. セッションの有効期間情報を使用
  5. ワンタイムパスワードを用い毎回使用するパスワードの変更を実施

(3)ソーシャルエンジニアリング

ソーシャルエンジニアリングは物理的手段によりユーザーの盲点をついて様々な情報を入手する攻撃でパスワード推測にも用いられることがあります。これは人間に対して人的、心理的な手段を用いて情報を搾取する方法がソーシャルエンジニアリングと分類されています。

①ショルダーハック
パスワードやユーザーIDを入力している様子を背後から覗き見て攻撃に必要な情報を入手します。
②ゴミ箱あさり
ゴミ箱から物理的に情報を収集する方法です。
③管理者を装った聞き出し
システム管理者を装い虚偽の情報をねつ造して情報を搾取します。システム障害が発生してデータ復旧のため、パスワードが必要といった方法で情報の入手を行うため、警戒意識を持ち注意を払うことが必要です。
④個人情報からの推測
ターゲットとなるアカウントの個人情報を様々な方法で入手し設定されているパスワードを推測する手法です。社員名簿、名簿業者から氏名、住所、生年月日、家族構成、趣味の情報を入手しプロファイリングによりパスワードを推測します。対策としては個人情報やユーザー認証に必要な情報の推測が可能になるような手掛かりを第三者に与えない、あるいは個人情報と関連性のあるユーザーIDやパスワードを使用しないことが必要です。
 

3.パスワードの管理

(1)パスワードの強度

パスワードが第三者に推測や解析が行われるかどうかの指標としてパスワードの強度があります。強度は無関係の数値を使用していれば推測が困難になるため強度が高いといえます。

◆パスワード推測が困難なケース
・個人情報と無関係
・ランダムな文字列
◆パスワード解析が困難なケース
・長い文字列
・多くの文字種を含む
・単語として意味

(2)パスワードの管理

パスワード認証については本人以外は知りえないパスワードの入力が原則です。その為、メモ用紙、付箋などにパスワードを書き留めることはできる限りしない方法で管理する必要があります。

またパスワードを伝える場合は電話や口頭など盗聴が可能な伝達方法はせずシステム管理によって定められた方法で伝達する必要があります。

(3)ポリシー設定によるパスワードの強化

強固な認証システムの構築には強力なパスワードを適切に管理することが重要ですがこのルールをシステム側の設定により強制することが可能です。

①パスワードのポリシー設定
・パスワードの長さと変更禁止期間
・パスワードの有効期限
・パスワードに使用する文字
②アカウントのロックポリシー

アカウントロックポリシー設定はパスワード推測やオンラインでのブルートフォース攻撃に対して有効です。ロックアウトとは入力されたパスワードが間違っていることによるログオンの失敗があらかじめ設定された回数以上になった場合にそのアカウントでのログオンを拒否する機能のことです。

・アカウントトックアウトのしきい値
・ロックアウトカウンタのリセット
・ロックアウト期間
 

4.認証技術

(1)認証方式

ネットワークを通じて情報を送信する場合、パスワードの情報がそのままネットワークに送信された場合、第三者に盗聴される可能性が高くなります。そのためユーザーID、パスワードなどを使用し認証を行いドメイン、ワークグループへのログオンを行い情報のやりとりを行った方が安全です。windowsドメインやコンピュータにログインする際に以下に示すように複数の認証プロトコルを利用できるようになっています。

認証プロトコルとして次の4種類があります。

■Kerberos 認証
Active Directory ドメインへのログオン
■NTLMv.2 認証
Active Directory ドメインへのログオン/ドメイン/ワークグループ
■NTLMv1 認証
Active Directory ドメインへのログオン/ドメイン/ワークグループ
■LM 認証
Active Directory ドメインへのログオン/ドメイン/ワークグループ

(2)シングルサインオン

シングルサインオンでは個々のシステムの認証機能を認証サーバーに一元化し、認証サーバーはユーザー認証を行いその情報に基づいた権限をアプリケーションサーバーなどに通知します。このようなシングルサインオンシステムは Active Directory、RADIUS 、TACACS、 AAAサーバーにより実現されます。

①シングルサインオンの利点
管理者にとってはユーザー情報管理の一元化、ユーザーにとっては管理しなければならないパスワード情報の集約です。

(3)高度な認証技術

認証にはパスワード認証のように本人以外は知りえない知識をベースとするもの以外に本人以外は持っていないものを利用する方法、本人の身体的特徴を利用する方法があります。

  1. 知識:パスワード認証
  2. 物:鍵、 IDカード
  3. 身体的特徴:指紋、虹彩:認証装置が効果である傾向がある。

 

5.まとめ

(1)認証方法とは

  1. ・システムを利用しようとしているユーザーが正当な権利を持っていることの確認
  2. ・ネットワークを通じてやり取りされるデータが途中で改ざんされておらず差出人の情報も詐称されていないことの確認

(2)監査認証 (Audit Trail)

情報システムに関する様々な事象から最終結果にいたるまでの過程の追跡が行える仕組みのことで一般に証拠能力を持つログである。

(3)パスワード施行攻撃

辞書攻撃、ブルートフォース攻撃などがある。

(4)リプレイ攻撃

リプレイ攻撃とは正規の認証操作でやり取りされたパケットを攻撃者が盗聴してそれをそっくりそのまま送りつけることで認証の突破を図ろうとするもの。通信パケットそのものが再利用される。

(5)パスワードの強度

パスワードが第三者によって推測、快速されやすいかどうかをさす言葉としてパスワードの強度という言い方を使用することがある。

(6)ワンタイムパスワード

トークンと呼ばれるデバイスや専用のソフトウェアに PINなどのパスワードを入力し出力される数字列や文字列を一回限り有効の使い捨てパスワードとして用いるもの。

(7)ソーシャルエンジニアリング

管理者を装ってパスワードを聞き出すような技術的でない手段による攻撃をソーシャルエンジニアリングと呼ぶ

(8) AAAサーバー

ユーザー認証と権限の付与、ログの記録という3つの機能をもつ認証サーバーである。認証(Authentication)、認可(Authorization)、課金(Accounting)の頭文字をとってAAAサーバーと呼ばれる。代表的なものに RADIUS、TACACS 、Kerberosなどがあげられる。

(9)バイオメトリクス認証

身体的特徴による認証意方式であり、バイオメトリクス認証と呼ばれる。指紋、虹彩、声紋、筆跡、手の静脈パターンといった異なる内容を持つ。現在ではデバイスの低価格化やコンピュータの高性能化により広く普及するようになった。

(10)パスワードのポリシー

パスワード強化の為のパスワード作成の為のルールをシステム側で設定を行うこと。ローカルセキュリティポリシーとグループポリシーがある。

(11)アカウントロックアウトポリシー

ロックアウトとは入力されたパスワードが間違っていることによるログオンの失敗があらかじめ設定された回数以上になった場合にそのアカウントでのログオンを拒否する機能のことでロックアウトポリシーとは設定により取り決めを行うこと。

(12) Kerberos認証

UNIXなどで使用されている標準の認証プロトコルである。ログイン先はActiveDirectoryドメインであり、ログインに使用するクライアントOSは Windows 2000以降の機種に限定される。

(13)NTLM認証

Ver1と ver2があり認証プロトコルであり、 Windows95,98,NTがサポートされる。

Leave a Comment

You must be logged in to post a comment.