その不正ログイン対策は抜けるのか? 「突破されない」認証設計の10原則:ITmedia Security Week 2025 夏
2025年8月26日、ITmedia Security Week 2025 夏で、日本ハッカー協会 代表理事 杉浦隆幸氏が「この設計、抜ける。―不正ログイン実行者が狙う“緩いポイント”―」と題して講演した。
漏えいやフィッシング、インフォスティーラー(情報窃取型マルウェア)で集められた認証情報が日々、不正ログインに使われている今、攻撃者の視点で見たシステムの「抜ける」ポイントを具体的に解説するセッションだ。“攻撃者の論理”から考える、突破されない設計とは何か――本稿では、講演内容を要約する。
攻撃者の手口:「緩いポイント」をどう見つけるか
杉浦氏は講演冒頭で、「不正アクセス行為の禁止等に関する法律」に言及し、講演で解説する攻撃手法は、「アクセス管理者が行うか、利用権者の承諾がある場合にのみ合法的に行える範囲だ」と強調した。許可なく第三者のシステムに対して不正アクセスを試みる行為は違法であり、決して行わないよう強く注意を促した。
杉浦氏は、攻撃者がシステムを評価する際の判断軸として、「(情報が)抜けるかどうか」「この認証システムは(攻撃の)投資対効果に見合うかどうか」の2点を挙げた。攻撃者は効率を重視し、最も脆弱(ぜいじゃく)でコストパフォーマンスが良い動線を狙う。
認証情報の入手経路の多様化
杉浦氏は、認証情報を“抜く”上で、生成AI(人工知能)によるログインブルートフォース機能の構築事例を挙げる。「ChatGPT」などを活用し、攻撃者の手法を理解してプロンプトの書き方を工夫することで「特定のサイト専用のログインブルートフォースプログラムがわずか10分程度で簡単に作成できるようになった」と述べる。加えて「Tor」などの匿名化プロキシを利用することで、IPアドレスの特定を回避し、攻撃を続けることも可能だ。
- 漏えいデータベースとインフォスティーラー
インフォスティーラー系のマルウェアで盗まれた認証情報が大量に出回っている。「ALIEN TEXTLOG」の分析結果からは、インフォスティーラーで奪った1.5TBものログから、2億8413万2969件もの侵害されたアカウントが発見され、その中には2億4400万件の新しいパスワードが含まれていた。これらはWebサイトのURL、メールアドレス(またはアカウント名)、パスワードのセットで構成されており、クライアントPCから窃取されていることから、平文に近い形で奪われていることが特徴だ。従来のパスワードリスト型攻撃と異なり、アカウント名がメールアドレスでないサイトも攻撃対象となるので、認証成功率が高く、気付かれにくい
- フィッシングメールアドレスがあればフィッシングを試みるのが攻撃者の“常とう手段”だ。近年では2FA(二要素認証)対応のフィッシングも一般的であり、「Microsoft 365」やGoogleのアカウントのように多要素認証で保護されたアカウントも標的となる。単純なクリック誘導だけでなく、ID・パスワードや認証コードを入力させる巧妙な手口が増加している
- クッキー/トークンの利用
インフォスティーラーなどによって認証済みのクッキーやトークンが盗まれると、ユーザーが既に認証された状態なので、2FAなどの対策を回避してセッションを乗っ取られる可能性がある
これらを攻撃フローとして杉浦氏はまとめる。入り口は情報漏えい、インフォスティーラー、フィッシングなどで集めた認証・認可情報であり、漏えいしたメールアカウントがあれば、パスワードリセットを狙ったり、MFA(多要素認証)の再登録を狙ったりと、さまざまな方法でアカウントを奪うことが可能となる。サポート経由で、電話を使ったパスワードリセットも、攻撃者が分かる情報を基に行われる。
「直接ログインするよりも、(パスワードリセットなど)“認証回復(リカバリー)系”の方が攻撃成功率が高い」と杉浦氏。攻撃者はどうやってセキュリティ部分の構造を“抜けるか”を判断軸とし、攻撃するのだ。その際、本人の認証の再登録部分を含む、最も脆弱な動線が狙われることになる。
パスワード再設定の脆弱性
「パスワードリセットのプロセスが甘いと、氏名、郵便番号、CAPTCHA、秘密の質問といった比較的容易に入手可能な情報で突破されてしまう」と杉浦氏は警告する。特に「パスキーのリセットも、登録されたメールに届いたURLをクリックする方式だと、メールアドレス認証と同じ強度になってしまい、脆弱だ」と指摘し、「たとえ強力な認証方式を導入しても、その回復フローが脆弱なら意味がない」と警鐘を鳴らした。メールアドレスだけの確認でパスワードリセットが可能なサイトも多く、これは攻撃者にとって狙い目となる。
そのため、システムを構築する上では、「守るべき情報が、攻撃者にとってどのような価値を持っているか」を考えなければならない。「個人情報は、利用者が想像するよりも攻撃者にとってそれほど価値が高くない。攻撃者が持つ幾つかの手段を基に、換金性が高い情報を狙ってくることを想定した方がよい」(杉浦氏)
「突破されない」認証設計の10原則
杉浦氏は、「最弱の動線を狙う」という攻撃者心理を理解した上で、「突破されない」認証設計の基本原則10項目を提示した。特にこの中でも「再登録/解除」こそが抜けるポイントとなるので、CSIRT(Computer Security Incident Response Team)と開発部門の二人三脚で、コード・ログ・検知・フィードバックのサイクルを確立する重要性を説いた。
1.ResetはAuth以上に強くせよ
パスワードリセットは、通常のログインよりも高い強度で設定すべきだ。具体的には、Step-up認証(既存MFAによる再認証/WebAuthn推奨)、最短寿命(10分以内)、1回限りで消費するトークン、デバイス結合(デバイス・ユーザーエージェント・IPアドレス・位置情報にバインド)を必須とし、発行時には全ての既存セッションを失効させるべきだ。
2.MFAは再登録/解除を厳格化せよ
平時の認証よりも、MFAの再登録や解除のプロセスを厳格化する必要がある。既存の認証要素によるStep-up認証、クールダウン期間の設置、高権限の操作には二人承認を導入すべきだ。CSIRTは再登録イベントを常時監視し、平常値からの逸脱を検知した際にはアラートを上げ、アカウントロックを自動化することが有効だ。
3.FIDO2やWebAuthn、パスキーを優先せよ
フィッシング耐性があり、デバイスに強固に結合されるので、インフォスティーラー対策としても有効だ。
4.SMSとTOTPは「非常口」と考えよ
SMS(ショートメッセージサービス)やTOTP(時間ベースワンタイムパスワード)はフィッシング攻撃に弱いので、既定では無効化し、使用時は監視を強化すべきだ。プッシュ認証を採用する場合は、単純なYes/No方式ではなく、ランダムな番号のマッチング要求とし、レート制限を設けてMFA疲労攻撃を防止する。
5.動線は一元化せよ
旧来のログインやリセットの入り口は完全に廃止し(HTTPステータスコード「410 Gone」コンテンツをサーバから完全に削除、「301 Moved Permanently」恒久リダイレクト)、認証動線を一元化すべきだ。複数の入り口が残っていると、最も脆弱なポイントが狙われる。
6.セッションは使い捨て
パスワード変更、デバイス追加、権限変更などの重要な操作の際には、全ての既存セッション・トークンを失効させ、再認証を強制すべきだ。
7.レート制限&バースト制御
パスワードリセット、MFA、サポートなど、全ての認証関連エンドポイントに対してレート制限を実装する。IPアドレス、ASN(自律システム番号)、デバイスなどでグループ化し、異常なバーストや分散アクセスを検出する。
8.リスク適応認証
新しい端末、異なるASNからのアクセス、異常な移動時間、不審なIPアドレスなど、通常と異なる行動パターンを検知した際には、追加のStep-up認証を段階的に要求する。
9.監査可能性
「誰が何をいつ再設定または再登録したか」が一目で分かる監査ログを整備する。パスワードリセット、MFA変更、管理者アクションは常時モニタリング対象とすべきだ。
10.サポートは最後の砦
秘密の質問に依存する本人確認は禁止。サポート経由の例外処理は証跡に基づき厳格化し、二人承認プロセスを導入すべきだ。
杉浦氏は、パスワード再設定の推奨フローとして、リスクスコア計算、単回限りの短寿命トークンの生成、デバイス・ユーザーエージェント・IPアドレスのバインド、既存セッションの無効化、安全なリセットリンクの送信、リンク開封後のWebAuthnによるStep-up認証、そして新パスワード設定後の全セッション失効と監査ログ記録を挙げた。この際、「トークンは必ずサーバ側で状態管理することが実装の重要ポイントだ」と強調した。
さらに、今すぐできる「7つの締め直し」として、以下の改善項目を優先度付きで提案した。
それでも対策不能な攻撃手法
認証の厳格化は、ユーザーの利便性を損ない、サービスからの離脱を招く可能性があるというジレンマが存在する。杉浦氏はTOTPのような認証方法ではなく、パスキーのようなユーザーフレンドリーな対策を推奨した。
現状では、対策が困難な攻撃手法も残っている。例えばインフォスティーラーなどが奪うクッキーやトークンは「認証済みだ」という情報が奪われることになるので、従来の認証対策では対応が難しい。また、フィッシングについてもサーバサイドでできることは少なく、利用者の教育だけでは不十分なので、パスキーの導入と強制が最も有効な対策となる。
加えて杉浦氏は、パスワードマネジャーの脆弱性についても触れる。2025年に開催されたハッカーイベント「DEF CON 33」ではブラウザ拡張機能を使ったクリックジャッキングなど、パスワードマネジャー自体が攻撃される脆弱性も話題になっており、この部分への対応も重要だという。
突破されない認証設計の要点
杉浦氏は、講演の最後に「突破されない認証設計の要点」として以下の点を改めて強調した。
攻撃者は“コスパ”で判断するので、攻撃する価値があるサイトを狙う。その攻撃コストを増やすことが効果的だが、ちょっとした仕掛け程度では、生成AIで軽く抜けてしまう。そのため、突破されない認証設計が最も重要だ。「特にパスワードリセットについては、ログインではなく“再認証”と考え、既存のセッションを即時無効化しStep-up認証が必須だと考えよ」と指摘した。
「それでもできない部分が残る。そこに対しては、自動化や監視強化で対応するしかない」とまとめ、組織内のCSIRT、開発、SOC(Security Operation Center)などが連携し対応する必要性を強調して講演をしめくくった。
最近は、インフォスティーラー対策の必要性が叫ばれるようになったが、その本質は「認証・認可情報こそ狙われる」ということ、「“抜ける”ポイントがまだ残っている」という点にある。名前の付いた攻撃へのポイントソリューションではなく、認証・認可に関する情報の実態を見直し、対策を考えなければならない。
特に「パスワードリセット」は、これまでの性善説から、相手を信用せずにイチから正しい本人確認をしなければならないことが示唆された。攻撃者は、最新のディープフェイク技術を基に声や姿を奪い、“抜ける”方法を考えてくる。正しい本人確認の準備ができているかどうかを、いや応なしに考えさせられる講演だった。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
日本ハッカー協会の杉浦氏が明かす「早く帰れる」セキュリティ運用自動化の始め方――生成AIにも頼れる、自動化の勘所とは
2024年9月2日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」における「セキュリティ運用自動化」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「セキュリティ運用自動化をなぜ始めるべきか」と題して講演した。
「アタックサーフェス管理」とは、今日からできることは――日本ハッカー協会の杉浦氏が「OSINT」視点で考える
2024年3月4日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「アタックサーフェス管理」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「今日から始めるアタックサーフェス管理」と題して講演。日本ハッカー協会として「日本のハッカーが活躍できる社会を作る」べく活動する杉浦氏が、幅広いセキュリティ分野の中から「アタックサーフェス管理」をキーワードに、OSINT技術を通じてセキュリティ対策の根幹を語った。
映画『Winny』公開記念 杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」
それは権力による創造の抑圧だったのか――元IPAセキュリティセンター長、セキュリティ研究者、ユーザー、セキュリティエンジニア、「One Point Wall」開発者たちが、さまざまな立場からWinny事件が残した影響を振り返った。