Google社員のフィッシングを0にした物理キー。余りの効果に、Google「もう自社でつくる」、元祖のYubicoは苦笑い

  • 81,312

  • author satomi
Google社員のフィッシングを0にした物理キー。余りの効果に、Google「もう自社でつくる」、元祖のYubicoは苦笑い
Image: Wikimedia via Gizmodo US

Yubicoが反応しました。

最近のハックはメールが主流です。フィッシング詐欺はどんなプロも引っかかっちゃいますけど、Google社員はもう1年以上、被害ゼロ。秘密はセキュリティキーにあります。

2017年から2段階認証で物理鍵の使用を全社員85,000人に義務付けたのです。 SMSやGoogle Authenticatorアプリで受け取ったワンタイムコードを入力する代わりに、セキュリティキーを差し込まないとログインできないようにしたんですね。物理鍵を要求するアプリや条件はさまざまで、「アプリの機密レベル、ユーザーのリスクレベル」によりますが、導入以来、効果はテキメンで…

導入以来、社内でアカウント乗っ取りの報告はゼロになりました。

…と、Google広報はKrebs on Securityのブログに語っています。ゼロですよ、ゼロ! 米Gizmodoの取材でも事実に間違いないことが確認されました。

ハッカーにとってGoogle社員は格好の標的です。うっかり社員がフィッシング詐欺メールの添付ファイルやリンクをクリックしてしまったら、たとえ平社員であってもそこを起点にもっと奥まで侵入したり、下手すると社外秘のシステムにも侵入できてしまいます。あの無数の攻撃に晒されているGoogleが1年以上無傷というのはすご過ぎますよね!

2段階認証は利用中の人も多いはず(まだの人は絶対設定したほうがいいです)。設定しておけば、アプリや携帯で受け取ったコードを入力しないとアカウントには入れないので、メールの怪しいリンクをクリックしてGmailのパスワードをハッカーに窃取されたときにも安心です。Google社内でも物理鍵導入前は、Google Authenticatorアプリでコードを受け取っていましたが、そこから一歩進めて去年導入したのが、FIDO U2F(ファイド ユニバーサル2要素認証)準拠のUSBのセキュリティキーです。

人気のYubiKeyなんかを差し込んで行なう方式。携帯でコードを受け取る方式だと携帯盗まれたら終わりですけど、セキュリティキーはその心配がありません。

YubikeyがWindows 10でパスワード不要の認証を開発中とか、時代はパスワードレス認証に動いています。完全パスワードレスまでの過渡期は、この「パスワード+物理鍵」式が最強かもです。利用は今のところChromeブラウザ使用時に限られるため、Googleのいい宣伝ですね。手動でがんばればFirefoxでも利用は可能で、Facebookなどのアプリ、LastPassなどのパスワードマネージャーで使えます。キー製造元はYubico(Yubikey)飛天(Feitian)。Yubikeyの設定手順の動画も少し古いけど貼っておきますね。

Video: カズチャンネル/Kazu Channel

Googleもキー発売

180727Titan
Image: Google via Gizmodo US

ちょうどこの1年無事故のニュースの翌日にはGoogleもYubikeyの競合「Titanセキュリティキー」を発表しました。値段は他社と同じ20~25ドルで、Google Cloud利用者はもう予約注文できます。PCに挿入するUSB版と、スマホでも使えるBluetooth対応版の2モデルが出ます。

二人三脚でパスワードレス認証技術のFIDOの開発を進めてきたGoogleに競合品を出されるのはあまり気持ちのいいものではありません。Yubicoは公式ブログでこう反応しています。

Yubicoは製造も開発も米国とスウェーデンで行っていますので、セキュリティとプライバシーの面でメリットがあります。

弊社もBluetooth(BLE)対応キーは開発しましたし、BLE U2F基準策定にも協力しましたが、弊社のセキュリティ、ユーザビリティ、耐久性の基準に満たなかったため発売は見合わせることにしました。BLEはNFCとUSBほど堅牢ではなく、バッテリーとペアリングも必要なので使いづらいです。

ちょっと最初の文章が引っかかって(Googleのキーはほかの国で製造されているから危ないと言っているようにも聞こえる)、Yubicoに真意とTitan製造国を尋ねてみたら、Googleに聞いてくださいと言われました…。

後半のコメントについては、米国コンピュータ緊急対策チーム(US-CERT)が先日発表したBluetoothの脆弱性に関する警告を引用し、NFCのほうが安全だと言ってました。また「近日中にセキュアで使いやすいiOS対応キーも発表します」と教えてくれましたよ。

「使いやすさ」という面では確かに問題があるかもしれないです。CNETが発売前のTitanを使ったら、会社に鍵を忘れてアカウントから締め出されてしまったそうですから。Yubikeyの場合は、そんなときに携帯でキーが受け取れるバックアップのリンクがあります(上の動画参照)。「そういうのを作ってくれないと」とGoogleにさっそく注文をつけていました。

スウェーデンの女性が銀行口座を開設したらホワイトハッカーの夫に1日で侵入されて、「これはなんとかしないと!」と思って創業したのがYubicoです。FIDOのパイオニアとして同社は目下、売上が毎年倍増中です。この分野は今後5年で1兆ドル(110兆円)産業に成長するとも言われています

まあ、Google的には「Gmailで2段階認証を使っている人は10%もいない」と1月にこぼしていたので、儲けより、ひとりでも多くの人にFIDOを広めるほうが今は狙いなのかもしれませんけどね…。


Image: Wikimedia via Gizmodo US, Google via Gizmodo US
Source: Krebs on Security, TechCrunch Japan, Yubico, Inc.com, TechRepublic

Rhett Jones - Gizmodo US[原文1, 2
(satomi)