なりすまし、シャドーITは、なぜ起きるのか？

リモートアクセスを導入するうえで、大きなリスクとなりえる『なりすまし』や『シャドーIT』。認められたユーザ以外が社内ネットワークへアクセスすること（侵入）は、絶対にあってはならないことですし、情報漏洩が起きると企業の社会的信用にも大きなダメージを与えます。一方、従業員によるシャドーIT。こちらも、企業が意図した端末以外からのアクセスは、ウイルスの持ち込みや、ポリシー制御が不十分なことによる意図せぬ動作や、不正行為など多くのリスクを発生させます。

なぜ、『なりすまし』や『シャドーIT』が起きるのか。その、最も大きな要因が認証情報の漏洩や、使いまわしによるものです。『なりすまし』は、何らかの理由で正しいIDやパスワードを、第三者が入手してしまうことにより行われます。そして、『シャドーIT』は、ユーザーが認められた端末以外でIDやパスワードを利用することによって発生します。

昨今IDや、パスワードの危険性が叫ばれていますが、パスワードが持ついくつかの問題として、人が可読できる文字列であること、そして、入力されたID/パスワードの一致のみで認証していることなどがあります。

可読できる情報であるため、管理が不十分であるとすべての人間にとって悪用が可能な情報になってしまいます。それによって起こりえる、なりすまし。悪意のある第三者が、何らかの手段であなたの企業ネットワークにアクセスしているとします。セキュリティ視点では、重大インシデントな状態ですが、仕組側みから見ると、正しいIDとパスワードを入力している以上、正しいユーザーとして認識されています。そして、同様に仕組みから見る限りは、この状態は正しいユーザーがアクセスしている状態と何ら違いがないのです。つまり、いまアクセスしてきているのが正しいユーザーなのか、悪意のある第三者なのかは、仕組み側だけでは判断がつかない状態にあります。

そのため、IDとパスワードだけではなく、二段階認証（トークンやSMS）を用いて認証ステップを多段化する対策や、証明書やMACアドレスを用いて個体認証を行うことによって、認証情報の漏洩対策を行っていることが多いと思います。しかし、証明書は少し知識をお持ちの方であれば、簡単に取り出し他の端末に移す事が可能ですし、MACアドレスも多くのネットワークアダプタでは、任意の値に書き換えることが可能です。つまり、個体認証としての強度は、残念ながら非常に弱いといわざるを得ません。

でも、二段階認証なら大丈夫なのでは？と、思われるかもしれません。トークンやSMSメッセージは、第三者には容易には入手できないため、証明書やＭＡＣアドレスによる個体認証よりは強固といえるでしょう。しかし、米FBIと、CISAが、VPNに対するビッシング攻撃を警告しています。ビッシング攻撃は、巧妙に細工されたサイトに誘導することで、二段階認証のキーを搾取することで、不正アクセスを行います。人が二段階認証に必要な情報を漏洩したり紛失してしまうと二段階認証も万全ではありません。

ソコワクは、強固な個体認証により『なりすまし』や『シャドーIT』を防止することが可能なサービスです。