インターナショナルシステムリサーチ(ISR)は9月28日、同社のクラウド認証・アクセス管理サービス「CloudGate Uno」に、第三者が多要素認証の突破を試みる行為をユーザーに通知する新機能「Pocket CloudGate」を追加したと発表した。無償で利用できる。
新機能は、CloudGate Uno上で何者かが正規ユーザーになりすまして、サービスを利用する端末の登録情報の変更や別の端末の登録を行ったり、パスワード変更などを行ったりした際に、正規ユーザーのモバイルアプリにポップアップで通知する。
モバイルアプリへのプッシュ通知と通知内容の確認一覧のイメージ
同日記者会見した代表取締役社長のRaul Mendez氏は、米SolarWindsでのセキュリティインシデントを受けて、多要素認証がサイバー攻撃者に突破されてしまう危険性に対処するため、新機能を開発したと説明した。
SolarWindsで発生したインシデントはFireEyeが発見したが、そのきっかけはFireEyeのVPNサービスで不正アクセスを検知したことだったという。当時はiPhoneの新モデルが発売され、同社ではVPNサービスで多要素認証を利用する従業員が利用端末の登録や変更が行う作業が多く発生しており、一時的に従業員が自身で作業を行えるようにしていたという。何らかの原因(同社ではフィッシング被害などは否定している)で従業員に身の覚えのない端末が利用登録され、攻撃者が多要素認証を突破してVPNサービスに不正アクセスを行ったとされる。
Mendez氏は、このケースに限らず昨今のサイバー攻撃では認証情報が盗まれ、結果的にランサムウェアなどの被害が多発していると指摘。サービス利用者を保護するために「Pocket CloudGate」の開発、提供に至ったと述べた。
なお、こうしたユーザーへの通知機能は、Gmailなどのさまざまなオンラインサービスでも提供されているが、メールで通知することが多く、法人向けサービスでは組織のIT管理者に通知されることが多い。しかしPocket CloudGateは、メールではなくユーザーのモバイルアプリへプッシュ通知を行うようにしている点が特徴という。
プロダクトマネジメント部長の柴田一人氏によれば、多要素認証の突破といったケースでは対応を急ぐ必要があり、メールよりもプッシュ通知の方が早く気づく可能性が高いこと、また、通知先がIT管理者だけでは操作をしたのが正規ユーザーかサイバー攻撃者かの判断が難しく、まず正規ユーザーに通知することで状況判断を素早くできるようにした。
攻撃者が不正に端末を登録した場合の対応フローイメージ
正規ユーザーによる操作なら問題はないが、サイバー攻撃者の場合は正規ユーザーが通知を受けた時点ですぐに自身でパスワードを変更するなどの対応ができるといい、正規ユーザーからIT管理者にもすぐ連絡することで、組織での対応も迅速化できるとした。
プッシュ通知の対象となる操作は、パスワードの変更や復旧、認証器(FIDO2、U2F)や個人端末の登録になる。当初はこれらの通知になるが、今後はふるまい監視技術を用いた不正ログインの検出、通知も行えるようにする計画だという。
