ここでは、運送会社を例にとりまして、YubiKeyによる「ワンタイムパスワード（OATH-TOTP）」からのリプレイス　適用例をご紹介します。

今回適用例でご紹介する運送会社では配達員全員にAndroidデバイスをベースにしたAndrooid端末を配布しています。Androoid端末がハッキングされてしまった場合、情報漏洩や社会的な信用下落が懸念され、次のようなセキュリティ対策を施していました。

• 指定されたアプリケーション以外はインストールできないようにしていました
• デバイスも電源ケーブル以外は接続できないように指定していました
• 中央システムへブラウザベースのログイン（ID/Pass）を行っていました
• ワンタイムパスワード（Auth-TOTP）を採用し、本人認証を取っていました

以前はブラウザにパスワードを保存する配達員が後を絶たず、本人認証に企業がOATH-TOTPを導入いたしました。検討を始めました。

本人認証については導入当時堅牢とされていた、ワンタイムパスワードを採用し、全配達員に配布し、運営していましたが、一方でワンタイムパスワードについては仕組み上の弱点が取りざたされるようになりました。会社のセキュリティの方針としては、その時点で最も堅牢である施策をとる必要があるとのことで、ワンタイムパスワードから他の認証ツールへのリプレイスを検討するようになりました。

ワンタイムパスワード（OATH-TOTP）の運用上の弱点

ワンタイムパスワードでは算出された6桁または8桁のワンタイムパスワードは、人間による目視と入力時間が必要なため一般的に20秒間使用可能です。それゆえに、20秒以内であれば、第三者がそのワンタイムパスワードを利用したハッキングが可能になります。

お客様の課題

• 紛失した端末のロックを解除されると、端末で起動するワンタイムパスワードも参照できてしまう。
• 配達員がフィッシングサイトに誘導されると、ID、パスワード、ワンタイムパスワード全てが盗まれる。
• 認証システムと端末のEnd-to-End認証が担保ができないため、MitM(中間者攻撃)による盗聴が可能。

MitMとは：ユーザーとサービスの間にサイバー犯罪者が入り込み、受け渡すデータを盗み見たり改ざんしたりする攻撃手法。

導入構成：

・YubiKey 5NFC *配達員分

※YubiKeyについては以下をご覧ください。
https://securitykey.scsk.jp/yubikey/

YubiKeyの採用理由

導入済のワンタイムパスワードソリューションをリプレイするすることが決めていた同社はその後継ソリューションとしてYubiKeyとモバイルアプリを使用した認証アプリを検討しました。

最終的に以下の理由でYubiKeyを採用しました。

・モバイルアプリもワンタイムパスワードと同様にフィッシングでパスワードを盗まれる可能性を否定できないため、キー情報を盗むことができないYubiKeyを採用
・YubiKeyは専用機が必要になりますが、入力が必要なくなるため、セキュリティレベルを強化したうえでユーザビリティを向上できるため

YubiKeyの採用メリット：

YubiKey採用によって享受できるメリットは以下の通りです

・端末を紛失しても、YubiKeyを併せ持たないと不正ログインできないこと。
・フィッシングサイトに誘導されても、YubiKeyの情報は盗めないこと。
・FIDOプロトコルではWebauthnによるEnd-to-End認証の仕組みが導入されていること。

本適用例に興味がある方は以下の詳細をご覧の上、SCSKまでお問い合わせください。

お問い合わせ

ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。

　プロダクト･サービス事業グループ
　ネットワークセキュリティ事業本部
　セキュリティプロダクト第二部