Googleは、個人およびWorkspaceアカウントのユーザーが二要素認証(2FA)を有効にするプロセスを簡素化すると発表した。これは、2段階認証(2SV)とも呼ばれ、パスワードが盗まれた場合のアカウント乗っ取り攻撃を防ぐために、ユーザーのアカウントに追加のセキュリティ層を加えることを目的としている。新しい変更により、SMSベースの認証を使用する必要がなくなり、認証アプリやハードウェアセキュリティキーなどの第二のステップ方法を追加してから2FAをオンにすることができるようになった。「これは、Google Authenticator(またはその他の同等の時間ベースの一回限りのパスワード(TOTP)アプリ)を使用する組織にとって特に役立つ」と同社は述べている。ハードウェアセキュリティキーを持つユーザーは、ハードウェアキーにFIDO1クレデンシャルを登録するか、FIDO2クレデンシャルとしてパスキーを割り当てることで、それらをアカウントに追加する2つのオプションがある。Googleは、Workspaceアカウントの場合、管理者ポリシーで「パスキーを使用してサインイン時のパスワードをスキップすることを許可する」がオフになっている場合、パスワードの入力が引き続き必要になる場合があると指摘している。また、アカウント設定から2FAをオフにすることを選択したユーザーは、これまでのように登録された第二のステップが自動的に削除されることはなくなった。「管理者が管理コンソールまたはAdmin SDKからユーザーの2SVをオフにすると、以前のように第二要素が削除され、ユーザーのオフボーディングワークフローが影響を受けないようにする」とGoogleは述べている。この開発は、検索大手が過去1年間で4億以上のGoogleアカウントがパスワードレス認証のためにパスキーを使用し始めたと述べたことに続くものである。FIDO2などの現代の認証方法と標準は、スマートフォンやコンピュータによって生成され、リンクされた暗号鍵を利用してユーザーを検証することにより、クレデンシャルハーベスティングやスティーラーマルウェアを介して簡単に盗まれる可能性のあるパスワードとは対照的に、フィッシングやセッションハイジャック攻撃に抵抗するように設計されている。しかし、Silverfortの新しい研究では、脅威アクターがMicrosoft Entra ID、PingFederate、Yubicoなどのシングルサインオン(SSO)ソリューションを使用するアプリケーションのユーザーセッションをハイジャックすることができる敵対者インザミドル(AitM)攻撃を仕掛けることによってFIDO2を回避する可能性があることが見つかった。「成功したMitM攻撃は、認証プロセスの全リクエストとレスポンスの内容を露呈する。それが終わると、敵対者は生成された状態クッキーを取得し、被害者からセッションをハイジャックすることができる。簡単に言うと、認証が終了した後にアプリケーションによる検証は行われない」とセキュリティ研究者のDor Segalは述べている。この攻撃は、ほとんどのアプリケーションが認証成功後に作成されるセッショントークンを保護していないために可能となり、悪意のあるアクターが不正アクセスを得ることを許している。さらに、セッションを要求したデバイスに対する検証が行われていないため、任意のデバイスがクッキーを使用して認証ステップをバイパスすることが可能である。認証されたセッションがクライアントによってのみ使用されるようにするためには、アプリケーションとサービスがセキュリティトークンをTransport Layer Security(TLS)プロトコル層に暗号的にバインドすることを可能にするトークンバインディングという技術を採用することが推奨される。トークンバインディングはMicrosoft Edgeに限定されているが、Googleは先月、セッションクッキーの盗難とハイジャック攻撃からユーザーを保護するためにChromeでDevice Bound Session Credentials(DBSC)という新機能を発表した。
【ニュース解説】
Googleが個人およびWorkspaceアカウントのユーザー向けに二要素認証(2FA)の設定プロセスを簡素化したことを発表しました。この変更により、SMSベースの認証を使用せずに、認証アプリやハードウェアセキュリティキーなどの第二のステップ方法を追加してから2FAを有効にすることが可能になります。これは、アカウントのセキュリティを強化し、パスワードが盗まれた場合のアカウント乗っ取りを防ぐための措置です。
この変更は、特にGoogle Authenticatorやその他の時間ベースの一回限りのパスワード(TOTP)アプリを使用する組織にとって有益です。以前は、ユーザーがAuthenticatorを追加する前に、電話番号を使用して2SVを有効にする必要がありましたが、この新しいプロセスにより、よりセキュアな方法で2FAを設定できるようになります。
また、ハードウェアセキュリティキーを使用するユーザーには、FIDO1またはFIDO2クレデンシャルを使用してキーをアカウントに追加する2つのオプションが提供されます。ただし、Workspaceアカウントの場合、管理者ポリシーによっては、パスキーを使用してもパスワードの入力が必要になる場合があります。
さらに、2FAをオフにする選択をしたユーザーは、これまでのように登録された第二のステップが自動的に削除されることはなくなりました。これにより、ユーザーのオフボーディングプロセスが影響を受けないようにするため、管理者が2SVをオフにした場合にのみ第二要素が削除されます。
この技術の進化は、パスワードレス認証への移行を示しており、FIDO2などの認証標準は、フィッシングやセッションハイジャック攻撃に対してより強固な抵抗力を提供します。しかし、新しい研究によると、シングルサインオン(SSO)ソリューションを使用するアプリケーションで、敵対者インザミドル(AitM)攻撃を通じてFIDO2認証を回避する可能性があることが示されています。この攻撃は、認証後に生成されるセッショントークンを保護していないアプリケーションにおいて、不正アクセスを可能にします。
このような攻撃から保護するためには、トークンバインディング技術の採用が推奨されます。これにより、セキュリティトークンをTLSプロトコル層に暗号的にバインドし、セッションクッキーの盗難やハイジャックを防ぐことができます。Googleは、ChromeでDevice Bound Session Credentials(DBSC)という新機能を発表し、この方向性を示しています。
この技術の進化と新たな認証方法の導入は、オンラインセキュリティを強化する大きな一歩ですが、新しい脅威に対応するための継続的な努力が必要であることを示しています。ユーザーと組織は、セキュリティ対策を常に更新し、最新の保護技術を適用することが重要です。
from Google Simplifies 2-Factor Authentication Setup (It's More Important Than Ever).
