モバイル認証アプリの多くにハッキング可能な設計上の欠陥

スポンサーリンク



新調査から、モバイル認証に使われるアプリの多くは、ハードウエアによるセキュリティーが使用されていても深刻な脆弱性があることが明らかに


シンガポール--(BUSINESS WIRE)--(ビジネスワイヤ) -- デジタル化によって、強力なデジタル本人確認に対する需要が高まっています。マッキンゼーの最近の調査1によると、Covid-19危機によって、世界中でデジタル化のペースが大きく加速しました。回答者の大部分が、ユーザーもしくは顧客とのやり取りの少なくとも80%が事実上デジタル化されていると回答していますが、この割合は、パンデミック直前ではわずか58%でした。そのため残念ながら、あらゆる種類の組織でサイバー攻撃の数が増えており、その多くは、ランサムウエア攻撃と、オンライン・アカウントや金融アカウントの乗っ取りです。

それが多要素認証市場の成長を後押ししており、ResearchAndMarkets.comは2020年の市場規模を106億4000万米ドルと評価しています(2026年には283億4000万米ドルに達すると予想されています2)。つまり、銀行、金融サービス、電子政府のアプリは、何らかの2要素認証(2FA)を導入することになります。これは一般的には、SMSベースのワンタイムパスワード(OTP)や、ハードウエアトークンまたはモバイル認証アプリが生成するコードになります。

残念ながら、SMS OTPは安全でないことが証明されており、傍受やフィッシング攻撃に脆弱です。ハードウエアトークンは導入コストが高額で、使い勝手が悪いほか、定期的な交換が必要です。モバイル認証は、携帯電話に内蔵された専用ハードウエア(トラステッド実行環境、TEE)でOTPコード生成用の暗号鍵を保護しているものが多く、最も安全で利便性に優れた選択肢だと考えられています。

しかし、「最も安全」だからといって「完全」だとは限りません。新たな調査によって、これまで見過ごされていた設計上の欠陥が浮き彫りになっています。

最も懸念すべきは、認証機能そのものが信頼できなければ、デジタル・サービスがマルウエアによる操作や攻撃者によるリバース・エンジニアリングにさらされる点です。それにより、アカウントの乗っ取り、データの漏えい、詐欺、あるいは一層深刻な事態を引き起こす可能性があります。

シンガポールのV-Keyは、ソフトウエア・ベースのデジタル・セキュリティー企業であり、世界初のバーチャル・セキュア・エレメントを開発したほか、最近公開したホワイトペーパーで、実際はモバイル認証アプリの大半がマルウエアによって侵害される可能性があることを示しました。これは、携帯電話が提供するハードウエア・ベースの保護機能がどのようなものであっても、当てはまります。

認証アプリの多くは、ユーザー識別用のコードを生成するために、暗号鍵を使用します。このようなアプリは、この暗号鍵がなければ開けることができない宝箱に例えることができます。ハッカーがこの鍵を盗むと、ユーザーに代わって取引を認証したり、文書に署名したりできる能力を「戦利品」として手に入れることになります。大半の認証アプリが鍵を保存するために最も安全なストレージを利用しようとするのは、そのためです。

多くの開発者にとって、それは携帯電話のトラステッド実行環境を意味します。Android携帯電話では、StrongBox Keystoreとして知られている環境です。アップルの場合、iOS Secure Enclaveがこれに相当します(キーチェーンと呼ばれるソフトウエアが付属し、パスワードなどの暗号データを保存します)。

V-KeyのCTOのEr Chiang Kaiは、次のように述べています。「残念ながら、そのようなアーキテクチャーの設計には、ハッカーが悪用できる一般的な欠陥があります。ハッカーがマルウエアを使って標的の認証鍵を取得し、不正な取引を行ったり偽の文書に署名したりできることを発見しました。これは特に、脱獄状態の携帯電話やルート化されたデバイス、『権限昇格脆弱性』の影響を受けるモデルに当てはまります。私たちはこの設計上の欠陥を『信頼性のギャップ』と呼んでいます。」

これは具体的に、どうして起こるのでしょうか?例えば、あるユーザーがモバイル認証アプリを使用して2FAのためにOTPを生成したりデジタル文書に署名したりしているとします。ある日、面白そうなモバイル・ゲームや暗号通貨のアドバイス・アプリを見かけます。ダウンロードしてインストールし、試してみることにします。

しかし、ユーザーは、こうしたゲームや暗号通貨のアドバイス・アプリが実際はモバイル認証アプリを狙った特権昇格の脆弱性を悪用したマルウエアであることを知りません。「特権昇格」は、オペレーティング・システムやソフトウエア・アプリケーションのバグ、設計上の欠陥、設定ミスを悪用し、通常は他のアプリやユーザーから保護されているリソース(鍵など)にアクセスする行為を指します。そのため、マルウエアは意図されている以上の特権を得て、機密データにアクセスしたり、不正な操作を行ったりできます。

ユーザーは普通、暗号鍵を保護するAndroid KeystoreやiOS Secure Enclaveの能力は信頼できると確信しているため、誰かに認証アプリをハッキングされる可能性について考えることはありません。しかし、新しいゲームを楽しんだり、最近の暗号通貨の利益を計算したりしている間に、攻撃者がすでに鍵を盗んでいる可能性があります。より正確には、「OTPシード」と呼ばれる認証アプリの鍵のことです。

OTPシードは、多くのOTPトークンの秘密要素です。この暗号資産は(カウンターや時刻と一緒に)認証アプリのOTPアルゴリズムに送り込まれ、OTPコードを生成します。ハッカーはこのOTPシードを使い、標的とする認証アプリが生成するものと同一のOTPを生成することができます。つまりハッカーは、これでユーザーのデジタルIDを実質的に所有することになります。

これは標的となる認証アプリが起動したり、改ざんされたりしていなくても侵害されるため、狡猾で高度な攻撃です。この脆弱性について、質問を受けたグーグルとアップルは、ユーザーが携帯電話で行ったり、携帯電話に対してしたりすることには、最終的に責任を負えないと回答しています。とりわけアップルは、この問題が主に影響を与えるのは脱獄したiPhoneであり、同社の観点からすると、許可された用途の範囲を超えていると指摘しています。同社のこの見解は、銃器製造メーカーが、銃による死亡事故に対して取っている姿勢と本質的に似ています。

上記のシナリオは、OTPシードに焦点を当てています。認証アプリの中には、公開鍵基盤(PKI)など、その他の種類の暗号資産を使用するものもあります。残念ながら、そうしたものも同様の方法で複製を作成したり盗んだりすることができます。V-Keyのホワイトペーパーは、ハッカーがどのようにしてそれを行うことができるのか、さらに詳しく述べています。

企業や電子政府のアプリの開発者が、事実上この大きなセキュリティーの脆弱性を見過ごしてしまったのは、できるだけ多くの顧客を獲得して成長しようと急ぐあまり、誤った信頼を寄せたからです。しかし、SMS OTPや、モバイル認証アプリでさえ侵害される可能性があり、デバイスとOSのレイヤーもあまり役に立たないのであれば、一般ユーザーはどうしたらよいのでしょうか。この信頼のギャップを埋める最良の方法は何でしょうか。

V-KeyのEr最高技術責任者によると、最終的には、どのようなアプリ、サーバー、さらには個々のIoTデバイスについても、システム内の各エンドポイントを識別する手段を提供することが最も優れた解決策です。例えばV-Keyのアプリ・アイデンティティー・ソリューションのように、すべてのアプリに紐づけられたセキュアエレメントなら、外部の認証機能が不要であり、ユーザー体験を損なうことなく、アプリのアイデンティティーと完全性を証明できます。

デジタル世界がますます速いペースで拡大するにつれ、アイデンティティーと信頼を実現するこの能力は極めて重要です。結局のところ、モバイル認証アプリが1つでも侵害されると、企業や政府のデジタル・サービスに侵入され、システム全体が停止してしまう可能性があるからです。それによって被る損害は、罰金や民事責任にとどまらず、ブランドや評判が損なわれ、時として回復が不可能な場合もあります。

V-Keyについて

V-Keyはソフトウエア・ベースのデジタル・セキュリティー企業であり、当社の技術はデジタルID管理、ユーザー認証、承認向けの超高度のセキュリティー・ソリューションで活用されています。DBS、OCBC、UOBなどの多数の顧客やパートナーから信頼されており、あらゆる場所の人、組織、デバイスをつなぐシンプルかつ安全なユニバーサル・デジタルIDサービスを提供しています。

V-Keyの国際特許取得済みのV-OSは、世界初のバーチャル・セキュア・エレメントであり、その高度な暗号保護機能とサイバーセキュリティー保護機能は、これまで高額なハードウエア・ソリューションでしか実現していなかった世界標準(EAL 3+評価とFIPS 140-2)に準拠しています。

1 https://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/how-covid-19-has-pushed-companies-over-the-technology-tipping-point-and-transformed-business-forever

2 https://www.businesswire.com/news/home/20210311005630/en/28.34-Billion-Multi-factor-Authentication-Market---Global-Growth-Trends-and-Forecasts-2021-2026---ResearchAndMarkets.com

本記者発表文の公式バージョンはオリジナル言語版です。翻訳言語版は、読者の便宜を図る目的で提供されたものであり、法的効力を持ちません。翻訳言語版を資料としてご利用になる際には、法的効力を有する唯一のバージョンであるオリジナル言語版と照らし合わせて頂くようお願い致します。


Contacts

Victor R .Ocampo
victor.ocampo@v-key.com
+65 81126741
info@v-key.com

Follow us:
LinkedIn - https://www.linkedin.com/company/v-key-inc/mycompany/
Twitter - @v-key_inc
http://www.v-key.com/

このリリースはビジネスワイヤからの提供を受けて掲載しています。
リリース内容については、それぞれの発表元企業にお問い合わせください。

スポンサーリンク