今月、Googleは社内フィッシング対策としてFIDO Universal 2nd Factor(U2F)セキュリティキーが極めて有効であることを発表しました。そして今回、Googleは独自のU2Fセキュリティキー「Titan Key」を開発したことを発表しました。このキーは、企業のクラウド顧客と一般消費者の両方にとって、安全で使いやすいPCおよびモバイル認証を実現します。
GoogleのU2FベースのTitan Key
現在最も有名なセキュリティキーメーカーはYubicoで、同社はFIDOアライアンスの創設メンバーでもあります。FIDOアライアンスは、安全で使いやすいハードウェアベースの認証ツールのためのU2FおよびWebAuthn標準を開発している団体です。
Yubicoは、PC、モバイル、さらにはサーバーにも対応した高品質なセキュリティキーを継続的にリリースしており、それが同社のキーがこれほど人気を博している理由です。Googleは今回、Titan Keyを発売することで、Yubicoに対抗しようとしています。
Google は、セキュリティ キーの専用ページで、Titan Key はセキュリティを重視するすべてのユーザーが持つべきものであり、IT プロフェッショナルやその他の同様の高価値ターゲットにとって絶対に必要なものであると主張しています。
Googleの開発者は、Titan Key用にカスタムファームウェアを開発し、生成された暗号鍵の整合性をハードウェアレベルで検証しました。Googleのセキュリティキーは、Yubicoを含む他のすべての企業が使用しているFIDO U2F規格を採用しています。このセキュリティキーは、GoogleのG Suite、Cloud Identity、Cloud Platformなどのサービスに加え、GitHub、Dropbox、Facebookなどの他のサービスでも利用できます。
Google は現時点では Titan Key をクラウド ユーザーのみに提供しているが、まもなく Play ストアでセキュリティ キーを販売し、誰でも入手できるようになる予定だ。
より安全な認証の必要性
最近では、数百万、数千万のユーザーのデータが漏洩する大規模なデータ侵害や漏洩のニュースを、1~2ヶ月、あるいはそれ以上の頻度で耳にするようになりました。大企業は、高度な攻撃者に対してほぼ無防備であるように見えますが、もちろん彼らにも責任がないわけではありません。こうしたデータ侵害は、企業がレガシーソフトウェアやパッチ未適用のソフトウェアを使い続けていること、エンドポイントセキュリティを十分に重視しない脆弱なセキュリティ対策、そしてソーシャルエンジニアリングやフィッシング攻撃などによって、一般的に引き起こされています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Googleによると、よくあるフィッシング攻撃は、Googleサービス(Gmailなど)を装った偽のウェブサイトを立ち上げ、2段階認証コードの入力を求めるというものです。犯罪者がそのコードを入手し、被害者のパスワードも既に入手済みであれば、仕事関連のデータの認証情報も盗み取ろうとします。最終的には、特定のクラウドプロバイダーや企業が自社サーバーでホスティングしているデータにアクセスできるようになるでしょう。
U2Fキーが認証を改善する仕組み
U2Fセキュリティキーはフィッシング攻撃に対して実質的に無敵であることが証明されており、そのため、米国の連邦政府機関でも導入が進んでいます。フィッシング攻撃に対する耐性が高いだけでなく、ウェブサイトにログインする際にデバイスの横にあるボタンをクリックするだけで簡単に使用できます。
U2F キーによってフィッシングが非常に困難になる理由は、ユーザーが U2F セキュリティ キーを使用して認証を試みるときに対応する Web サイトに送信する必要がある公開暗号化キーが、偽の Web サイトでは機能しないからです。
