0001田杉山脈 ★
2018/07/24(火) 23:08:05.11ID:CAP_USER偽サイトに誘導して、ユーザーのアカウント情報などを盗み出すフィッシング詐欺。最近は本物と見分けがつかないような偽サイトも登場し、より一層の注意が必要な状況となっています。そんな中、多数の従業員を抱えるGoogleが、2017年に業務関連アカウントでのフィッシング被害が0だったとの事例が報告されています。
セキュリティ関連の情報を報じているKrebs On Securityによると、Googleは2017年に8万5000人以上の全従業員に対し、USBセキュリティキーの使用を義務付けたところ、フィッシング被害の報告が0件になったとのことです。
USBセキュリティキーを使用する前がどうだったのかが分からないため、USBセキュリティキーのおかげでフィッシング被害を防げたとは言い切れませんが、意識付け等の意味でも一定の効果はあったと考えられます。
あらためてセキュリティキーについて触れておくと、その名の通りにUSB接続で使える認証用のデバイスで、FIDOアライアンスのU2F (Universal 2nd Factor)プロトコルに対応したものが一般的。GoogleやDropbox、Facebook、Twitterなどが二要素認証(二段階認証)でセキュリティキーをサポートしています。
通常、二要素認証では、SMSに送信されるコードや認証用アプリで生成されるコードを入力するものがほとんどですが、セキュリティキーはUSBポートに差し込みキー上のボタンに触れると認証が完了します。認証には物理的なキーが必要となるため、コードを入力する形式よりも安全性は高くなります。
なお、現在はパスワードと組み合わせた二段階認証としてU2Fが使用されていますが、今後はパスワードそのものが不要なUAF(Universal Authentication Framework)が主流になると考えられおり、UAF(とU2F)を基にしたWebAuthn(Web Authentication)がすでにW3Cの勧告候補になっています。
指紋や顔認証がWebサイトで使える。W3Cが新しい認証仕様WebAuthnを勧告候補に
とはいえ、利用するには各サービスが対応する必要があり、広く普及するには時間がかかります。それまでの過渡期的な手段となるかもしれませんが、セキュリティ対策のためUSBセキュリティキーを導入するのは有効な手段と言えそうです。
2018/07/24
https://japanese.engadget.com/2018/07/24/google-0/