TakagiHiromitsu氏総務省のリスト型アカウントハッキング対策について指摘する の続き

TAKAGI, Hiromitsu @TakagiHiromitsu

昨日の続きです。

TAKAGI, Hiromitsu @TakagiHiromitsu

④二要素認証の導入のところに「事前に登録した質問事項への回答」方式が挙げられているのですが、そこにも「利用者が使い回しをしている可能性が考えられるため、定期的な変更が必要です。」と書かれており、これには唖然とせざるを得ません。 パスワードはランダム生成すれば無限に作れますが、

TAKAGI, Hiromitsu @TakagiHiromitsu

…パスワードはランダム生成すれば無限に作れますが、「事前に登録した質問事項への回答」をサイト別に作成して定期的に変更せよというのは不可能です。 現実的な対策なのか検討したようには見えません。単に、局所的な論理の辻褄合わせで安易にこういう対策が書かれているようです。

TAKAGI, Hiromitsu @TakagiHiromitsu

⑤こういう記述もあります。「なお、最近では（略）Man in the Browser攻撃がワンタイムパスワードを突破している例もあり、二要素認証を導入していれば必ずしも安全というわけではないケースもあります。本対策集に記載している対策を複数組み合わせて実施していただくことが重要」

TAKAGI, Hiromitsu @TakagiHiromitsu

これは二重に間違っています。 Man-in-the-Browser攻撃（MITB）の被害を防ぐには、この文書にある対策を「複数組み合わせて」も、無限に組み合わせても、防ぐことはできません。 そもそも、パスワードリスト型不正ログインを想定しているときに、MITBは無関係です。

TAKAGI, Hiromitsu @TakagiHiromitsu

たしかに、「二要素認証を導入すれば（あらゆる攻撃を）防げる」に対しては、MITBの脅威があると注記せねばなりませんが、ここでは、「二要素認証を導入すればパスワードリスト型不正ログインを防げる」という話をしているのですから、MITBを持ち出す必要がありません。

TAKAGI, Hiromitsu @TakagiHiromitsu

「複数組み合わせて」というのも典型的によくある安直な記述です。ある対策を挙げつつ、その限界も書いたときに、結局どうすればいいのか、どう整理（前提などを）すればよいか、本人がわからなくなってしまったときに、「複数組み合わせて」と口走ってしまうという事例が多々見られます。

TAKAGI, Hiromitsu @TakagiHiromitsu

⑥「アカウントロックアウト」のところの論理もおかしいです。「一定の閾値以上の認証エラーが発生した場合に、そのアカウントを一時停止する措置を講じることも有効」とするその根拠として「リスト型攻撃は成立件数以上の試行が行われているため（参考5参照）」としているのですが、その「参考5」…

TAKAGI, Hiromitsu @TakagiHiromitsu

…「参考5」のデータは、被害企業A社で試行件数が24,000に対し成立件数が77で成立率は0.32%だったという表なのですが、これは、同一アカウントに対する試行数ではないので、アカウントロックが効果的とする理由にはなっていません。（アカウントロックはこれとは無関係に有効です。）…

TAKAGI, Hiromitsu @TakagiHiromitsu

…むしろ、この表は、次の「特定のIPアドレスからの通信の遮断」を有効とする根拠に使う資料でしょう。リスト型攻撃の成立件数が低いから異常検知が可能なのだということこそを言うべきところです。それなのにそのことは書かれておらず、単に「大量のアクセスが発生した場合」と書かれており、その…

TAKAGI, Hiromitsu @TakagiHiromitsu

…そのため、「特定のIPアドレスから閾値以上のアカウントへのログイン要求の通信が発生した場合に」遮断するという対策が書かれてしまっています。そんなことをすれば当然、脚註16 の通り「善良な利用者の通信も遮断してしまう可能性があるため注意が必要です。」となるわけです。そうではなく…

TAKAGI, Hiromitsu @TakagiHiromitsu

…そうではなく、閾値を超えるログイン認証の失敗が発生した時に、遮断すればよいのです。せっかく示された「不正ログインの成立率」の表は、そのような対策の根拠として活きてくるデータなのに、使われていません。 また、「注意が必要です」というのはどのように注意すればいいのでしょうか。

TAKAGI, Hiromitsu @TakagiHiromitsu

⑦利用者が予め登録しているメールアドレスにワンタイムパスワードを送付するという話が書かれているのですが、そこには「ID・パスワードが流出している可能性を考慮して、フリーメールのアドレスの登録の回避を推奨します」とあり、「フリーメール」が締め出されているのですが、理由がありません。

TAKAGI, Hiromitsu @TakagiHiromitsu

⑧脚註18に通信の秘密のことが書かれていますが、これもおかしいです。 「ログイン時に使用された発信元のIPアドレスについても通信の秘密に含まれます。」と書かれており、そんなばかなと思うところですが、その直後にはこう書かれています。「このため、…

TAKAGI, Hiromitsu @TakagiHiromitsu

…「このため、ログインに係る通信の当事者ではないISPなどが、ログイン時に4の(2)ないし(3)記載の対策を講ずる場合には、当該ログインに係る通信の当事者であるサービスを提供する事業者の同意に基づく必要があります。」 そう、当該ログインのアクセス管理者は通信の当事者であって、…

TAKAGI, Hiromitsu @TakagiHiromitsu

…通信の当事者であって、自らそのIPアドレスを使用するのは自由であり、通信の秘密侵害に当たりません。本文で「IPアドレス情報は、通信の秘密」との記述が出てきてこの脚註があるのですが、いつの間にか話が、第三者（ISPなど）によるブロックの話に逸れており、文脈が錯綜しています。

TAKAGI, Hiromitsu @TakagiHiromitsu

本当に言いたかったはずのことは、その直前に書かれている、「大量の不正ログインが行われている発信元のIPアドレスについて、サービスを運営する事業者間において共有し」という対策が適法かどうかという話でしょう。それについての説明がありません。しかも、その説明らしきものとして、IP…

TAKAGI, Hiromitsu @TakagiHiromitsu

…として、IPアドレスは通信の秘密として保護されるものという記述が出てくるわけですが、脚註がそれを、「事業者の同意」という関係のないことを言って、アクセス管理者がするものであれば共有が自由であるかのような結論にしてしまっています。しかし、ここは、プライバシー保護の観点、個人…

TAKAGI, Hiromitsu @TakagiHiromitsu

…プライバシー保護の観点、個人情報保護法遵守の観点から検討すべきところであるはずです。たとえ、IPアドレスが直ちに個人情報保護法の言う個人識別性を有する情報にはならないとしても、そのようなデータを第三者と共有することは適法なのかを検討するべきところでしょう。その記述がありません。

TAKAGI, Hiromitsu @TakagiHiromitsu

この文書全体に言えることですが、木を見て森を見ずと言いますか、個々の局所的な論理の辻褄は合わせようとしているものの、大局的に論理が破綻していることに無自覚です。その最たる結果が、パスワードの定期的変更の強制を対策として推奨したことでしょう。

TAKAGI, Hiromitsu @TakagiHiromitsu

最後に。冒頭の「はじめに」で違和感を持ったのは、「トレンドマイクロ社の調査によれば」という記述が出てきたことです。この程度の内容の調査は誰でもできることです。本件で当事者性の強い、利害関係者である特定の民間一社を、このような政府機関の文書に記載するのは、公平性の観点で問題がある…

TAKAGI, Hiromitsu @TakagiHiromitsu

…問題があると感じました。最初に述べたように、この文書の結論である「サイト別パスワードかつ定期的変更」という対策は、パスワードマネージャの使用を前提としなければ不可能なことを強いるものです。「参考1」に「パスワード管理の便利なツール（パスワードマネージャソフト）」という囲み…

TAKAGI, Hiromitsu @TakagiHiromitsu

…囲みがあり「このようなソフトについて周知していただくことも一案ではないかと思います。」とあります。ここで「パスワードマネージャ（パスワード管理）ソフト」という表記が使われていますが、「パスワードマネージャー」はトレンドマイクロ社が商標出願しています。（商願2012-10512）

TAKAGI, Hiromitsu @TakagiHiromitsu

以上。