セキュリティ

スマートな世界を〈守り〉〈創る〉先進のセキュリティ技術を紹介します。

ユーザブルセキュリティの現在
人間とコンピュータシステムとの関係性から生じるセキュリティ上の脅威

いまやサイバー空間はビジネスの舞台となるだけでなく、人々の生活の一部ともなっています。それとともに脅威にさらされる機会も増え、安心・安全なICTに対する期待はますます高くなっています。脅威に対抗するセキュリティ対策にはさまざまな種類がありますが、今回は人間とコンピュータシステムとの関係性から生じる脅威、特にプライバシーに関する脅威から〈守る〉セキュリティである「ユーザブルセキュリティ」を取り上げます。

「ユーザブルセキュリティ」とは

近年、「サイバー攻撃」という言葉がさまざまなメディアに登場しています。その動機は愉快犯、自己顕示欲の充足、社会的・政治的主張、諜報活動、金銭目的などさまざまですが、それにより国家機関、民間企業、個人ユーザなどが日々脅威にさらされます。

図1 ユーザブルセキュリティ
図1 ユーザブルセキュリティ

「ユーザブルセキュリティ」は人間(ユーザ)とコンピュータシステムとの関係性において生じるセキュリティ・プライバシー脅威を分析して解決します。従来のシステムセキュリティやネットワークセキュリティとは異なり、ユーザを中心とし、その行動、メンタルモデル、意思決定プロセスを分析し、その知見をコンピュータシステムの設計・実装・運用にフィードバックすることでセキュリティ・プライバシーを向上させます。
特に我々はオンラインサービスに関する脅威を主要な対象としています。ここで着目するのは、ソフトウェアの脆弱性やアカウントの乗っ取りではなく、ユーザ個人の視点から見た時のセキュリティやプライバシーの感じ方です。第1回連載で紹介したように、IPA(情報処理推進機構)がまとめた「情報セキュリティ10大脅威2020」で「インターネット上のサービスからの個人情報の窃取」が個人では12位、組織では8位にあがっていることからも、重大なセキュリティ上の脅威と言えるでしょう。

ユーザブルセキュリティの観点から見るオンラインサービスのプライバシー脅威

図2 ユーザIDまたはパスワードの入力を間違えた場合に表示されるエラーメッセージの例
図2 ユーザIDまたはパスワードの入力を間違えた場合に表示されるエラーメッセージの例

では具体的に脅威の内容を見てみましょう。ここでは一例として、ユーザIDおよびパスワードを入力し、ある特定のオンラインサービスにログインする場合を考えます。
このサービスでは、ユーザIDの入力を誤った場合には「そのユーザIDは存在しません」、パスワードの入力を誤った場合には「パスワードが間違っています」が表示されるよう設定されています。一見、なんら問題はなさそうに見えますし、実際にこのようなメッセージを目にした経験がおありの方も多いのではないでしょうか。
しかし、ここにプライバシー上の潜在的な脅威が存在するのです。

例えば悪意のある身近な人が存在すると仮定したらどうなるでしょう?
オンラインサービスにおいて、ユーザIDにメールアドレスを利用しているサービスは多数存在します。そこで試みにパートナー、家族、友人、同僚など、自分が知っているメールアドレスを手当たり次第に入力してみることにします。その結果として「そのユーザIDは存在しません」が表示された場合には当該人物がそのオンラインサービスを利用していないことを、また「パスワードが間違っています」が表示された場合には当該人物がそのオンラインサービスを利用していることを知ることができます。
特に問題なのは、この行為がメールアドレスさえ知っていれば誰にでも実行可能だという点です。

エラーメッセージにより起こりうるプライバシーの侵害の例

図3 エラーメッセージにより起こりうるプライバシーの侵害
図3 エラーメッセージにより起こりうるプライバシーの侵害

ではこの行為によりどのようなプライバシー侵害が起こるのかを、もう少し掘り下げて考えてみましょう。
例えば転職サービスのオンラインサービスだった場合。当該人物が同サービスに登録しており、アカウントを所有していることから、「この人は近いうちに転職するのではないか?」という疑惑をかけられる可能性があります。
また、金融ローンサービスの場合には「この人は現在、金銭的に困窮している」との印象を与えるかもしれません。
あなたのメールアドレスを知っているような身近な人物が、こうしたシステム上の「状況別にエラーメッセージが異なる」という設計を悪用し、プライバシー侵害を行う危険性があるのです。

実際に、600人以上を対象としたオンライン調査によれば、実に82%以上の人が、特定の性的指向者向けサービス、成人向けコンテンツ、金融ローンサービスなど、「アカウントの所有を他人に知られたくないサービス(センシティブサービス)が存在する」と回答。つまり82%の人にとってこの行為はプライバシー侵害になる可能性があることになります。
一方、25%が「知人のアカウント所有を知りたいですか?」という質問に対し「知りたい」と回答。4人のうち1人が加害者になり得る可能性があることが明らかになりました。
さらにオンラインサービス100種類について調査したところ、ほぼすべてのサービスにおいて第三者によりアカウントの所有/未所有を知ることができる状態であることも判明。
これらにより、こうした危惧が決して机上の空論ではなく、実は身近な危険性であることが裏付けられました。

セキュアなエラーメッセージ例

では、今回の場合にはどのような対策が必要だったのでしょうか。ログイン関連機能別のセキュアではない応答、セキュアな応答の例を図4に示します。

図4 セキュアなエラーメッセージ例
機能 入力 セキュアではない応答 セキュアな応答
ログイン 登録されているユーザID と誤ったパスワードを入力 「パスワードが違います」 「ユーザIDかパスワードが違います」
登録されていないユーザIDと任意のパスワードを入力 「そのユーザIDは存在しません」
パスワードリカバリー 登録されているユーザIDを入力 「パスワード再設定用リンクを送りました」 「入力されたメールアドレスがデータベースに存在すれば、パスワード再設定用リンクを送ります」
登録されていないユーザID 「登録されていないメールアドレスです」
アカウント作成 登録されているユーザID 「既に登録されているユーザIDです」 「入力されたメールアドレス宛てにアカウント作成用リンクを送ります」
登録されていないユーザID 「アカウント作成が成功しました」

「ユーザブルセキュリティ」に対するNTTの取り組み

NTTではこれまで、ユーザがより安全に判断して行動できるシステム設計を目指して、システム・サービスに対するユーザのセキュリティ・プライバシー意識や行動の把握をするユーザブルセキュリティ研究を行ってきました。
今回紹介したユーザブルセキュリティについても、実際に研究を行ったセキュアプラットフォーム研究所は、セキュリティ脅威の存在について世の中に広く周知するとともに、各組織には必要な対策を通知しました。
具体的には、IPA(情報処理推進機構)およびJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)を通じ脅威の影響を受ける可能性のある関係者に脅威の存在および対策方法の通知を行うとともに、国際的なWebセキュリティのオープンソースコミュニティであるOWASP(Open Web Application Security Project)に対策ガイドラインの改定を働きかけ、その修正を実現しました。

今後に向けて

近年、ICTをはじめとする社会システムの高度化に伴い、ユーザに求められるセキュリティ関連の判断・行動はますます複雑化しています。本来は誰しもが平等にICTの恩恵を享受できるべきですが、そうした状況により取り残されてしまうユーザが出てしまうという懸念があります。例えばブラウザにセキュリティ警告が表示された場合、そのリスクを正しく理解し、適切な行動を取ることが難しくなっています。
NTTでは、多種多様な人々を受容可能な、真の意味でのICT社会を実現するため、「誰もが正しく物事を理解し、選択して、活用できるセキュリティ技術」の創造を目指しています。その実現に向け、ユーザブルセキュリティはまさに大きなテーマであると言えるでしょう。NTTには、フルスタック(インフラ構築からアプリケーションまで、幅広い分野をカバー)かつ、フルライフサイクル(コンサルティングから保守・運用まで、ライフサイクル全体をカバー)のサービスを展開しているという強みがあります。

人間とコンピュータシステム、ICTの関係において、人間がその中心であり、コンピュータシステムやICTとそれを活用する人間の関係は今後も変わることはないでしょう。その一方で、発展し複雑化していくICTに人間の認識が追いつかず、そこから生じたギャップをターゲットとしてサイバー攻撃を仕掛けるという事例は今後も発生すると考えられます。

NTTでは、今後どのようにICTが進化したとしても、ユーザに寄り添い、その認識を助け、より安全な行動の判断ができ、安心・安全にICTを利用できるシステムの設計に向けて研究を続けていきたいと考えています。

参照

  1. (1)「ユーザブルセキュリティ」(ビジネスコミュニケーション 2020 Vol.57 No.4)
  2. (2)Ayako Akiyama Hasegawa, Takuya Watanabe, Eitaro Shioji, and Mitsuaki Akiyama, I know what you did last login: inconsistent messages tell existence of a target’s account. ACSAC 2019.
    https://dl.acm.org/doi/10.1145/3359789.3359832

関連するコンテンツ