それはワンタイム・パスワードの問題ではない

いやさ

• 狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上：この頃、セキュリティ界隈で（1/2 ページ） - ITmedia NEWS

て酷い釣りタイトルだよな，と思いつつモニタにツッコんでしまったよ（笑）

ハッキリ言おう。 それはワンタイム・パスワードの問題ではない。

ワンタイム・パスワードに問題がないわけではない。 NIST SP 800-63B によればスマホの TOTP アプリや専用のワンタイム・パスワード機器は「単要素 OTP デバイス（Single-Factor One-Time Password (OTP) Device）」と呼ばれる。 これはタイプとしては「知識」ではなく「所有」に分類される。 所有型の Authenticator には紛失・盗難のリスクが伴う。 また，基本的に OTP は認証する側とされる側との間で最初にシークレットを共有する必要があり（特にアプリでは）シークレットの受け渡しと管理の問題が発生するが，認証の段階でこのシークレットをやり取りすることはない。

しかし，上の記事の「ワンタイムパスワード」はこれとは異なる。 SMS やチャット・アプリ等を通してサービスプロバイダから使い捨てシークレットを通知し，シークレットをもらったユーザは通知を受けたチャネルとは別のチャネル（大抵はスマホ・アプリかブラウザで表示される Web ページ）でシークレットを返す。 送ったシークレットと返ってきたシークレットを比較して認証を行うわけだ。 こうした仕組みは NIST SP 800-63B の分類では「経路外デバイス（Out-of-Band Devices）」と呼ばれている。

経路外デバイスが筋が悪いのは攻撃者から見て攻撃ポイントが多いことだ。 上の記事で示される事例はまさにそこを突かれて認証を突破されている。

以前に拙文「Authenticator と AAL」で紹介したが，元々 NIST は SMS を使った認証を非推奨（または禁止）にするつもりだった。

• SMSを使った二要素認証を非推奨〜禁止へ、米国立技術規格研究所NISTの新ガイダンス案 | TechCrunch Japan

しかしその後，色々あったようで，最終的には “RESTRICTED Authenticator” という位置づけまで緩和されてしまった。

The use of a RESTRICTED authenticator requires that the implementing organization assess, understand, and accept the risks associated with that RESTRICTED authenticator and acknowledge that risk will likely increase over time. It is the responsibility of the organization to determine the level of acceptable risk for their system(s) and associated data and to define any methods for mitigating excessive risks. If at any time the organization determines that the risk to any party is unacceptable, then that authenticator SHALL NOT be used.

でも，結局その「温情措置」が重大なセキュリティ・インシデントを招いているのだから「なんだかなぁ」という感じである。 電子メールや VoIP が経路外デバイスとして NG なら SMS だって NG だろう。

Authenticator による認証には3つのレベル（Authenticator Assurance Level; AAL）があるが，最初の記事の事例にあるような「暗号資産」を扱う重要な決済システムなら AAL3 は必須だろうし，そうであるなら認証手段として経路外デバイスを選択するのはあり得ない。 これは「闇」でも何でもなく，単にサービス・プロバイダが間抜けで迂闊だったというだけの話である。

道具は適切に組み合わせないと所定の性能を発揮できない。 私達エンジニアはこのことを肝に銘じておくべきだし，利用者としても「利便性はセキュリティとトレードオフできない」ことは知っておくべきだろう。

参考図書