「フィッシング耐性」が「フィッシング完全防御」を意味しない理由

セキュリティでは言葉の精度が重要です。フィッシング耐性のある認証とフィッシングを完全に防ぐ認証の違いを理解することは、組織がリスクを評価し、リソースを配分し、ステークホルダーとコミュニケーションを取る方法に影響します。この違いは、ベンダーの主張から取締役会へのレポート、ユーザーの期待に至るまで、あらゆることに関わります。

主張の正確さは、技術部門と経営層の双方に対する信頼性を築きます。フィッシング耐性のある認証方法は、認証情報の窃取が成功する可能性を大幅に低減しますが、すべての攻撃ベクトルを排除するわけではありません。

この文脈では、認証方法とは、パスキーやハードウェアトークンなど、ユーザーのIDを検証するために使用される手法や技術であり、フィッシング攻撃に耐性を持つよう設計されたものです。 認証メカニズムがフィッシングに対して「完全防御」であると主張することは、絶対的な保護を示唆します。しかし、どのような技術もその保証を提供することはできません。攻撃者は適応し、ソーシャルエンジニアリング、セッションハイジャック、デバイスの侵害を通じて、堅牢な制御さえ回避する経路を見つけます。

制御と結果を区別することで、セキュリティ投資が実際に何をもたらすのかが明確になります。強力な認証は必要ですが、包括的な保護にはそれだけでは不十分です。ワンタイムパスワードのコードやプッシュ通知などの標準的なMFAは広く使われていますが、フィッシングや中間者攻撃には依然として脆弱です。一方、パスキーのようなフィッシング耐性のある方法では、攻撃者が偽装したログインページを通じて認証情報を盗むことを防ぎます。

ただし、これらの方法は、認証が成功した後に発生する脅威や、認証を完全に迂回する脅威には対応しません。強力な制御を完全なセキュリティと同一視する組織は、誤った安心感を生み、対処されないギャップを残してしまいます。

取締役会やリーダー層に報告する際の経営層向けメッセージでは、慎重な表現が求められます。セキュリティチームは、フィッシング耐性のある認証の導入によって測定可能なリスク低減を示すことができますが、絶対的な保証をするべきではありません。表現は進捗を反映するべきです。たとえば、「ユーザー基盤の87%について、初期アクセスベクトルとしての認証情報フィッシングを排除しました」と伝えれば、過度な約束をせずに効果を示せます。このアプローチにより、セキュリティが進化する脅威に対する継続的な取り組みであることを認めながら、信頼を維持できます。

フィッシング耐性の定義の中心にあるのは、認証情報を特定のオリジンに暗号学的に結び付け、偽装ドメインでは使用できないようにする認証方法です。ユーザーが認証を試みると、ブラウザーまたは認証器が、要求元サイトのオリジンを登録済みの認証情報と照合します。オリジンが一致しない場合、フィッシングサイトでは一致しないため、認証は静かに失敗します。

このオリジンに紐づいた暗号技術は、認証情報の傍受と再利用に依存するフィッシングキットやリレー攻撃を無効化します。こうしたフィッシング耐性のある認証情報は、不正サイトで抽出され再利用されることがないため、従来のパスワードとは根本的に異なります。公開鍵暗号はこれらのメカニズムを支え、認証用の暗号鍵ペアを安全に生成・検証できるようにします。

ハードウェアに裏付けられた認証器は、フィッシング耐性のあるセキュリティキーを通じて、さらなる保証層を追加します。これらの物理デバイスは、耐タンパー性のあるハードウェアに暗号素材を保存し、接続されたデバイスが侵害された場合でも抽出を防ぎます。秘密鍵はユーザーのデバイス上に安全に保存され、サーバーへ送信されることはないため、機密性の高い認証データは保護されます。これらのデバイスは暗号鍵を安全に保存し、窃取や改ざんから保護します。

ユーザーのデバイスは、認証情報を保護するうえで重要な役割を果たします。セキュリティキーでは、通常はボタンの押下や生体認証チェックによるユーザー存在確認が必要であり、マルウェアによる自動化ではなく、人間の意図に基づいて認証が行われることを保証します。FIDOセキュリティキーは、フィッシング耐性のある認証のゴールドスタンダードであり、リモート攻撃に対して暗号学的に保護されています。

パスワードレスとフィッシング耐性のある認証方法は、しばしば重なるものの、同一のカテゴリではありません。フィッシング耐性のあるアプローチとパスワードレスのアプローチを比較する際に重要なのは、パスワードレス認証ソリューションは、生体認証、マジックリンク、ワンタイムコードなどの代替手段を採用することで、パスワードを不要にします。

ただし、すべてのパスワードレス方式がフィッシング攻撃に耐性があるわけではありません。SMSコードやプッシュ通知はパスワードレスですが、傍受やソーシャルエンジニアリングに対して脆弱なままです。真にフィッシング耐性のある機能には、オリジンへの暗号学的な紐付けが必要です。これは、FIDO2パスキーやFIDOセキュリティキーには備わっていますが、多くのパスワードレス実装にはありません。

フィッシング耐性認証は、最も一般的な初期アクセス経路を閉ざしますが、アプリケーションに安全な認証方式を導入した後も、いくつかのタイプの攻撃は残ります。

悪意のあるアプリケーションは、一次認証を完全に迂回するOAuthの許可を要求できます。攻撃者は一見正当なサードパーティーアプリケーションを作成し、企業リソースへのアクセスを許可するようユーザーをだまします。いったん付与されると、これらの権限はユーザーの認証方法とは独立して機能します。アプリケーションは、明示的に取り消されるまでデータアクセスを可能にするトークンを受け取ります。組織は同意の付与を監視し、機密性の高いスコープへのアクセスを要求できるアプリケーションを制限するポリシーを実装する必要があります。これらのフィッシング攻撃は、認証ではなく認可レイヤーを標的にします。

認証によって生成されるセッショントークンは、ブラウザーのCookieまたはローカルストレージに保存されます。これらのトークンを侵害した攻撃者は、認証を行わずにアクセスを得ます。マルウェア、クロスサイトスクリプティングの脆弱性、ネットワークでの傍受により、認証成功後にセッショントークンが露出する可能性があります。フィッシング耐性のある方式は認証の瞬間を保護しますが、その後に続くセッション自体を本質的に保護するわけではありません。短命のトークン、安全なCookie属性、機密性の高い操作に対する再認証要件は、このリスクを軽減しますが、排除はしません。

エンドポイント上のマルウェアは、認証強度にかかわらず、ユーザーの活動を監視し操作できます。キーロガー、画面キャプチャツール、UIオーバーレイ攻撃は、認証完了後に動作します。デバイスを制御した攻撃者は、正規ユーザーが認証済みの状態でいる間に、取引を承認したり、データを持ち出したり、他のシステムへ侵入を拡大したりできます。エンドポイント保護、アプリケーションのサンドボックス化、特権アクセス管理は、認証制御を超えた多層防御を提供します。FIDOセキュリティキーであっても、認証成功後に侵害されたデバイス上で発生する脅威からは保護できません。

音声通話、チャットメッセージ、ヘルプデスクのなりすましは、技術的な制御ではなく人間を標的にします。攻撃者は、リモート管理ツールのインストール、パスワードリセット用のワンタイムコードの共有、不正取引の承認など、アクセスを許可する行動をユーザーに取らせることがあります。フィッシング攻撃の見分け方を理解することは、偽のログインページを見分けるだけにとどまらず、あらゆるコミュニケーションチャネルでの操作的な誘導を検知することにまで及びます。パスキーは認証情報の窃取を防ぎますが、認証済みの状態で有害な行動を取るよう誰かを説得する攻撃者を防ぐことはできません。こうした高度なフィッシング攻撃は、技術的な脆弱性ではなく人間心理を悪用します。

包括的な保護には、さまざまな段階の脅威に対処し、フィッシング耐性認証と連携する複数の制御が必要です。

条件付きアクセスとリスクシグナルは、認証資格情報を超えたコンテキストを評価します。デバイスポスチャチェックは、アクセスを許可する前にエンドポイントがセキュリティベースラインを満たしているかを検証します。位置情報分析は、通常とは異なる地域からの認証試行にフラグを立てます。行動シグナルは、離れた場所から短時間に連続してログインが行われるなど、認証情報やセッションの侵害を示唆するアクセスパターンの異常を特定します。

セッション保護は、時間ベースおよびリスクベースの制御により、盗まれたトークンによる露出を制限します。短命のトークンはすぐに期限切れになり、継続的な正当性を確認する再認証を強制します。リスク適応型の再認証は、機密性の高いリソースにアクセスする場合や、行動シグナルが侵害の可能性を示す場合にユーザーへ追加の確認を求めます。グローバルサインアウト機能により、不審なアクティビティが発生した際に、すべてのデバイスでセッションを即座に終了できます。また、トークンバインディングやデバイスバインドセッションなどの新しい標準は、フィッシング耐性の特性を初期認証だけでなくセッション自体にも拡張することが期待されています。

検知と対応の機能は、予防的な制御をすり抜けた脅威を可視化します。異常な同意付与に対するアラートは、大きな被害が発生する前に潜在的なOAuthの悪用を特定します。セッションの異常検知は、あり得ない移動シナリオや通常とは異なるデータアクセスパターンにフラグを立てます。認証システム、エンドポイント検知プラットフォーム、セキュリティ情報およびイベント管理ツールを連携させることで、攻撃対象領域全体にわたる相関的な可視性が得られます。これらのシステムは、認証後の脆弱性を狙うフィッシング攻撃の特定に役立ちます。

セキュリティ意識向上トレーニングは、従来のフィッシングの見分け方にとどまってはなりません。ユーザーは、同意フィッシング、セッションの窃取、認証済みユーザーを狙うソーシャルエンジニアリング手法など、認証後のリスクを理解する必要があります。トレーニングでは、強力な認証が成功しても脅威が残るシナリオを明示的に扱うべきです。そのため、フィッシング攻撃に関する教育では、認証情報の窃取と認証後の悪用の両方を取り上げ、認証済みセッションが侵害されている可能性や、過剰な権限の付与へ誘導されている状況をユーザーが認識できるようにする必要があります。

Bitwardenのフィッシング耐性のある認証機能は、パスワード管理のワークフローに直接統合されます。パスキーとFIDOセキュリティキーのネイティブサポートにより、ビジネス組織およびエンタープライズ組織は、ユーザーが期待する利便性を維持しながら、フィッシングされやすいパスワードを排除できます。

Bitwardenは、ログイン認証情報を保護し、強力な認証を適用することで、Microsoft Office 365を含むMicrosoft Officeアカウントをフィッシング攻撃から保護するのに役立ちます。ドメイン紐づけ自動入力は、保存された認証情報と一致しないドメインではログインフィールドに入力しないことで、偽装サイトでの認証情報の入力を防ぎます。このアプローチは、認証情報を狙うフィッシング攻撃に対する防御を提供するように設計されています。

フィッシングに対するアカウントセキュリティの強化は、管理者コンソールを通じた組織ポリシーの適用にも及びます。セキュリティチームは、二要素認証を必須にし、認証方法をフィッシング耐性のある選択肢に制限し、組織全体の認証イベントを監視できます。

FIDOセキュリティキーやその他のハードウェアセキュリティキーのサポートにより、組織は利用可能な最も強力な保護を実装できます。これらのデバイスは暗号鍵を安全に保存し、盗難や改ざんから保護するとともに、安全なアクセス制御を可能にします。

Bitwarden Access Intelligenceは、侵害された認証情報を継続的に監視し、攻撃者が悪用する前に、組織のパスワードが侵害データセットに含まれている場合に管理者へアラートを通知します。

組み込みのセキュリティレポートは、保管庫全体で弱いパスワード、再利用されたパスワード、流出済みパスワードを特定し、フィッシング攻撃が発生する前の予防的な修正を可能にします。イベントログは認証アクティビティの監査証跡を提供し、異常な動作を特定する検知と対応のワークフローを支援します。

Bitwardenはまた、高度な認証方法を活用して高度なフィッシング脅威から保護することで、組織のフィッシング耐性を強化します。これらの機能を組み合わせることで、強力な制御がもたらす保護と、包括的なセキュリティに必要な追加レイヤーの両方を踏まえた、フィッシング耐性のある認証の基盤を構築できます。