連載 [第1回] :
  Authenticate 2023レポート

FIDO Alliance主催のAuthenticate 2023開催、キーノートからパスキーの現状とハッキングの具体例を紹介

2024年1月10日(水)
松下 康之 - Yasuyuki Matsushita
FIDO Alliance主催のAuthenticate 2023が開催された。キーノート初日の内容を紹介する。

パスワードを不要とする認証システムを推進する団体FIDO Allianceが主催する年次イベント、Authenticate 2023がカリフォルニア州カールスバッドのゴルフリゾートで2023年10月16日から18日の3日間開催された。今回は初日の朝一番に行われたキーノートセッションを紹介する。

ゴルフリゾートのカンファレンス会場を使って行われたAuthenticate 2023

ゴルフリゾートのカンファレンス会場を使って行われたAuthenticate 2023

●公式ページ:Authenticate 2023

キーノートはFIDO AllianceのシニアマーケティングディレクターであるMegan Shamas氏が司会役として登場し、FIDOのエグゼクティブディレクターであるAndrew Shikiar氏を紹介し、ここからキーノートが始まった。Shikiar氏は2023年が「パスキーの年だった」と宣言して、パスワードレスの認証を可能にするパスキーの本格的な普及が始まったことを解説した。

2023年はパスキーの年と宣言したAndrew Shikiar氏

2023年はパスキーの年と宣言したAndrew Shikiar氏

著名な企業がユーザーとしてパスキーを採用していること、そしてユーザーが利用するブラウザでのパスキーサポート、スマートフォンでのパスキーサポートが本格的に始まっているというのがパスキーの年の判断材料であると説明。

AppleやMicrosoft、Googleなどがパスキーを採用。ドコモ、ヤフージャパンの名前も挙げられている

AppleやMicrosoft、Googleなどがパスキーを採用。ドコモ、ヤフージャパンの名前も挙げられている

特にパスキーによる眼に見える改善ポイントとしてWebサイト、サービスへのログイン時間の削減、失敗率の改善、パスワードリセットの回数が激減したことなどをIntuit、Googleそしてメルカリなどの発表事例から引用して解説した。

パスキー採用による定量的データを紹介。メルカリの数字はベトナムでも発表された内容だ

パスキー採用による定量的データを紹介。メルカリの数字はベトナムでも発表された内容だ

全世界的に消費者によるパスキーの認知も52%に上昇、IT部門の管理職においては84%が理解していると答え、92%がパスキーによってセキュリティが改善するというスライドで認知度が順調に向上していることを説明した。またアメリカ政府がFIDO Allianceによるテクノロジーを支持していることも含めて、パスキーが拡大する流れを続けたいと語った。

しかし、ユーザーを騙してパスワードなどのクレデンシャルを盗み取るための生成型AIを使った攻撃が増加していることには注意を促した。

生成型AIを応用した攻撃が増加していることを説明

生成型AIを応用した攻撃が増加していることを説明

その上でShikiar氏は自身の解説の後にハッキングの手法を解説するホワイトハッカーのRachel Tobac氏を招き、実際にハッキングを行う具体的な状況を解説させた。Tobac氏は、現代の攻撃においては人的要素が多く占めることを複数の動画を用いて解説した。

Rachel Tobac氏はSocialProof SecurityのCEOという肩書を持ち、企業におけるセキュリティを啓蒙する仕事を続けており、ハッキングの仕方を具体的に見せることでシステムへの侵入がどれだけ簡単に可能かを示すキーパーソンとして、何度もアメリカのニュースショーなどで紹介されている人物だ。

●公式サイト:SocialProof Security

人間が関わる部分に多くのハッキングされる余地があると説明するTobac氏

人間が関わる部分に多くのハッキングされる余地があると説明するTobac氏

以下の動画は実際に再現ドラマ仕立てで、ITサポートを装ったTobac氏が企業の社員に電話をかけ、パスワードリセットのための偽装サイトを用意してそこでパスワードリセットを行わせるというものだ。偽装サイトのURLを指示し、そこでユーザーIDとパスワードを入れさせ、認証のために社員のスマートフォンにSMSで認証コードを送ることで2要素認証が成立していると思い込ませ、入力させたパスワードを盗み取るというハッキングの手順だ。一方後半ではハッキングができなかった例としてYubicoのソリューション、ハードウェア認証のYubikeyで防止されるという内容となっている。この動画はYubicoの宣伝のための動画だが、前半のITサポート部門の電話番号とパスワードリセットサイトの偽装によってユーザーが簡単に信用してしまうという部分は説得力のある内容だ。

●動画:倫理的ハッカーの考え方

またInstagramやFacebook、LinkedInなどのサービスを使うことでユーザーのさまざまな情報が漏れ、それをベースにハッカーが情報を得るという部分の説明も、一般人からすれば普通に見える社内の風景でさえもハッカーにとっては使えるデータとなることを示している。

ユーザーが自身のデスクを撮影した写真からハッカーが攻撃のための情報を獲得できると説明

ユーザーが自身のデスクを撮影した写真からハッカーが攻撃のための情報を獲得できると説明

2023年の攻撃の傾向。ITサポートや金融機関を装う電話や上司などの名前を偽って情報獲得

2023年の攻撃の傾向。ITサポートや金融機関を装う電話や上司などの名前を偽って情報獲得

また新入社員に対してCEOを装ってギフトカードを購入させるなどの詐欺行為も発生しているとして、必ずしも技術的な脆弱性を狙うのではなく人間を狙っているという部分がメッセージとしては強い内容となった。

最後に人が関わるセキュリティの手順を見直すこと、FIDOのテクノロジーを使って人を支援すること、というのがTobac氏のプレゼンテーションのまとめだ。

人に関わる手順を見直すこと、そしてそれを支援するツールを導入すること

人に関わる手順を見直すこと、そしてそれを支援するツールを導入すること

パスキーの効果を知ってる参加者よりも、このカンファレンスに参加していない企業のエグゼクティブにぜひ知ってもらいたいと思える内容のキーノート前半部分となった。特に電話が今も多くのコミュニケーションの方法として使われているアメリカでは、実体験としてリアルな内容となっている。この偽装された電話番号とSMSによって信用させるという部分は日本でも応用可能であり、その部分を具体的に見せることで人的要因が今や多くの攻撃の焦点になっていることを強調しており、日本のIT部門においても充分に参考になる内容だったと思われる。

著者
松下 康之 - Yasuyuki Matsushita
フリーランスライター&マーケティングスペシャリスト。DEC、マイクロソフト、アドビ、レノボなどでのマーケティング、ビジネス誌の編集委員などを経てICT関連のトピックを追うライターに。オープンソースとセキュリティが最近の興味の中心。

連載バックナンバー

セキュリティイベント
第5回

写真で見るAuthenticate 2023、ショーケースに参加したスポンサー企業のブースを紹介

2024/2/7
Authenticate 2023の会場から、ショーケースに参加したスポンサー企業のブースなどを紹介する。
セキュリティイベント
第4回

Authenticate 2023から、導入事例を紹介したISRのセッションをインタビューとともに紹介

2024/2/6
Authenticate 2023から、導入事例を紹介したISRのセッションと、セッション担当者のインタビューとともに紹介する。
セキュリティイベント
第3回

Authenticate 2023から、GitHubがパスキーを導入した経緯を解説するセッションを紹介

2024/1/25
Authenticate 2023から、GitHubがパスキーを導入した経緯を解説するセッションを紹介する。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています