こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。

システム・サービス利用時の認証に利用する情報全般を、クレデンシャルと呼びます。私たちがよく利用するIDやパスワードも、この一種にあたります。
とはいえ、クレデンシャルという言葉については「聞き慣れない」「具体的にどんな意味を持つのかわからない」という方も多いのではないでしょうか。

そこで今回は、クレデンシャルとその関連用語の意味、またそれを狙ったサイバー攻撃について詳しく解説します。

クレデンシャルとは

ITセキュリティ分野におけるクレデンシャル(credential)とは、認証に利用される識別情報の総称のことです。具体的には、IDやパスワード、暗証番号、生体パターンなどの情報が、これにあたります。また、認証・認可に際してシステム間でやり取りされる情報も、クレデンシャルに含まれます。

通常、Webシステムなどにログインする際には、操作者がユーザー本人か確認するための認証が行われます。この認証時に入力するIDやパスワードは、クレデンシャル情報の一種であり、これらはアカウント情報などとも呼ばれます。
ただし、クレデンシャルという言葉は、ただ単にIDとパスワードで認証する場合ではなく、生体認証をはじめ、認証プロトコルや公開鍵証明書などといった認証技術を含む場合に用いられるのが一般的です。

クレデンシャルは、あらゆる情報の中でも重要度が非常に高く、悪意のある第三者からの攻撃対象として狙われやすい傾向にあります。もしクレデンシャルが盗まれてしまえば、アカウントを乗っ取られてシステムに不正ログインされたり、情報を悪用されたりと、大きな被害が出る可能性があります。
よって、クレデンシャルはセキュアに保護しなければなりません。そのための認証技術を有するプロバイダは、CSP(クレデンシャルサービスプロバイダ)と呼ばれます。

主なクレデンシャル情報の用語解説

次に、クレデンシャル情報に関連する次の5つの用語について解説していきます。

・クレデンシャルID
・暗証番号(PIN)
・パスフレーズ
・ワンタイムパスワード(OTP)
・生体認証

この中には普段からよく使う聞き慣れた言葉もあるかもしれませんが、今一度、クレデンシャルにおけるそれぞれの意味を確認していきましょう。

クレデンシャルID

クレデンシャルIDとは、認証に用いるIDのこと。これは、システム登録時に発行されるユーザー独自のIDであり、認証時に入力することで、操作者がユーザー本人であることを証明する要素のひとつです。

特にクレデンシャルIDと呼ぶ場合には、金融機関サービス利用時のスマートフォン認証に用いるIDを指すことが多いです。これを利用したサービスはネットバンキングをはじめとしたサービスで活用されています。

暗証番号(PIN)

暗証番号とは、システム利用における認証のユーザー確認に用いられる番号のこと。「personal identification number」を略して「PIN」とも呼ばれます。
これを用いたシステムでは、予め設定しておいた数字をユーザーが入力することで、操作者が本人であることを確認します。そのため、暗証番号はユーザーだけが知る秘密の番号でなければなりません。

一般的なシステムでは、暗証番号に4桁の数字を用いています。ただし、4桁の数字では巧妙化する脅威に対してセキュリティを確保することが難しく、より安全性を向上させるためにパスワードやパスフレーズが使われることも増えています。

パスフレーズ

パスフレーズとは、認証時に利用するフレーズのこと。パスワードと似ていますが、これは8文字前後の文字の組み合わせであるのに対し、パスフレーズは10文字以上の文字列から成ります。単語や文章をフレーズとして用いることが多く、またスペースを用いることができる点が、その特徴です。

パスフレーズは、長い文字列からなる分、パスワードよりも高いセキュリティを確保できます。これを利用すれば、片っ端から文字を試していく総当たり攻撃で突破されるリスクも抑制できます。

ワンタイムパスワード(OTP)

ワンタイムパスワードとは、そのとき一度だけ使える使い捨てタイプのパスワード、またはそれを使った認証システムのことです。

ワンタイムパスワードは、通常のパスワードとは違い、一定の時間ごとに変わり、一度使ったものをもう一度使うことはできません。そのため、もしこのパスワードが盗まれたとしても、それを悪用したログインはほぼ不可能です。
この特徴から、ワンタイムパスワードは通常のパスワードよりもセキュリティ強度が高く、重要な情報を扱う金融関連サービスなどでよく用いられています。

ワンタイムパスワードの発行には、トークンという端末やスマホアプリ、電話、SMS、メールなどが用いられます。これらに表示されたワンタイムパスワードをログイン時に入力するというのが、一般的なワンタイムパスワードの使い方です。

生体認証

生体認証とは、複数ある認証手段のひとつで、人間の生体的特徴をもとに認証を行う技術のことを指します。この技術では、指紋や静脈、顔、虹彩、網膜、キーストロークなど、その人だけが持つ体の特徴を識別して、認証の可否を判断します。

一般的な認証方法は、「知識認証」「所有物認証」「生体認証」の3種類に分けられます。
生体認証には、知識認証にあたるパスワードのように失念してしまったり、所有物認証にあたるICカードのように無くしてしまったりして、認証ができなくなる心配がありません。盗難による悪用も不可能です。
そのため安全性・利便性が高く、この機能は金融サービスはもちろん、スマートフォンやタブレット、パソコンなど身近な機器にも用いられています。

ただし、生体認証も万全ではなく、誤って本人を拒否してしまったり他人を許可してしまったりするケースはあります。

クレデンシャルを狙った攻撃手法

クレデンシャルは重要性の高い情報です。これを盗まれてしまうと、システムへのアクセスを攻撃者へ許してしまうことになります。また、複数のシステムを通じて被害が広がってしまう恐れもあります。
実際に、クレデンシャルを狙った攻撃は多数報告されています。攻撃の具体例としては、次のような手法が存在します。

【クレデンシャル・スタッフィング】
盗んだユーザ名やパスワードで、システムやサービスに侵入し、攻撃を行う方法。ユーザーによるパスワードの使い回しにより被害は拡大する。
総当たり的に行うことから、「スタッフィング(総当たりで検証する)」と呼ばれる。
【クレデンシャル・フィッシング】
偽装メールなどから偽サイトに誘導し、情報を入力させることでクレデンシャルを盗む方法。
SMSからの誘導も多い。
【クレデンシャル・ハーベスティング】
ターゲットを欺いて情報を盗む攻撃のこと。フィッシングもそのひとつ。
ハーベスティングで盗んだ情報はスタッフィングに用いられるケースもある。
【クレデンシャル・ダンピング】
平文またはハッシュ化された情報を、侵害したOSから不正に取得する方法。この情報は、水平展開、またアクセス制限の突破に利用される。
【パス・ザ・ハッシュ】
Windowsの認証システムに向けた攻撃。パスワードハッシュの取得により、認証を回避して不正にログインし、遠隔で攻撃を行う方法。
【パス・ザ・チケット】
パス・ザ・ハッシュ対策に有効なKerberos認証を破るための攻撃。Kerberos認証で発行されるチケットを不正入手することで、認証を回避しシステムに侵入する方法。

このように、クレデンシャルを狙った攻撃は多様化しつつあります。
これらの攻撃による被害を避けるために、デバイスおよびシステム利用におけるセキュリティ対策は万全にしておく必要があります。また、怪しいメールの開封やリンクへのアクセスも避けるようにしましょう。

まとめ

あらゆる認証情報を指すクレデンシャルは、取り扱いに気をつけるべき情報です。
攻撃により、IDやパスワード、パスコードなどといったクレデンシャルが悪意のある第三者の手に渡れば、システムやその中の情報は悪用されてしまうことになります。自分だけでなく、周りに被害が広まることもあるでしょう。

これを避けるには、きちんとセキュリティリテラシーを持ち、穴のないセキュリティ対策を行うことが大切です。クレデンシャルを自身で管理するのではなく、パスワード管理システムなどの技術を用いてセキュアに保護しておくというのも、ひとつの方法でしょう。