TimeHopデータ侵害から得た3つの教訓

ブレット・マクダウェル(Brett McDowell)氏、FIDOアライアンス事務局長

2,100万人のユーザーに影響を与えたTimehopのデータ侵害は、特にヨーロッパで定着している新しいGDPRおよびPSD2要件に照らして、他のオンラインサービス業界にとって教訓となる瞬間を提供します。

Timehopは、「クラウドコンピューティング環境へのアクセス認証情報が侵害されたために侵害が発生した」と説明し、このようなことが二度と起こらないことを顧客に安心させるための明らかな努力として、すぐに「すべてのアカウントの認証とアクセス制御を保護するための多要素認証を含む措置を講じました」と付け加えました。

これまでのところ、これは非常に一般的なデータ侵害通知としてはかなり標準的なものです。しかし、私が目を引いたのは、ユーザーのソーシャルメディアの投稿や写真が侵害されていないことを太字で強調し、失われたデータには「名前、メールアドレス、一部の電話番号」が含まれていることを明らかにしたことです。この事件から得られた重要なポイントがいくつかあり、オンライン サービスのセキュリティ チームと予算を担当するエグゼクティブに気づいてもらいたいものです。

まず、なぜ多要素認証(MFA)に投資する前に侵害されるのを待つのでしょうか? 業界データは、サービスプロバイダーにユーザーを保護するよう求めています。 昨年のデータ侵害は前年比で45%増加しただけでなく、その80%以上がパスワード侵害によるものであったことがわかっています。 パスワードフィッシングなどの安価なリモート攻撃は、侵害への最初のステップとしてますます重要になっています。 リスクは日々高まっています。 MFAへの投資はほぼ避けられません。 企業のコストを削減する唯一の方法は、侵害される前にその投資を行うことです。

第2に、欧州の顧客からの個人情報が登録されている場合、現在完全に施行されている一般データ保護規則により、データ保護の基準がすでに強化されています (GDPR)を参照してください。 つまり、かつてはソーシャルメディアの投稿、個人の写真、さらには財務データよりも重要ではないと考えられていたものが、データ侵害事件に先立ってリスクに応じた対策を講じたことを規制当局に証明できない場合、今では非常に重要になっています。 また、欧州で決済処理やビジネスを行う場合、PSD2により、これらの取引に対して安全な顧客認証の提供が義務付けられることになり、3つの認証要素のうち少なくとも2つ、つまり、自分が知っているもの(パスワードなど)、本人であること(生体認証など)、所有しているもの(信頼できるデバイスからの暗号署名など)が明示的に要求されます。

選択肢を検討する際は、GDPR には生体認証データの収集と処理に関する特別な要件もあることに注意してください。 選択したユーザーエクスペリエンスであれば、組み込みのデバイス上の生体認証マッチングを使用することで、多くの追加コストと責任を節約することができます。

最後になりましたが、業界がまさにこの目的のために将来を見据えたオープンスタンダードを提供したばかりの昨日のMFAに投資して予算を無駄にしないでください。 あまりにも多くの専門家が、MFAとはパスワードとSMSで配信されるワンタイムパスコードを意味すると思い込んでいます。 これらのソリューションはどちらも「共有シークレット」であり、安価なフィッシングスタイルの攻撃に対して本質的に脆弱であり、これらの攻撃が増加し、非常に効果的であることがわかっています。

この事実は、昨年、アナリスト企業のJavelin強力な認証の現状に関する調査を発表した際に、さらに明確になりました 「高保証の強力な認証」をMFAの新しいカテゴリとして認識しました。 Javelin氏は、米国国立標準技術研究所(NIST)の最新のガイダンスを引用し、認証保証で最高点を獲得するためには、その要素の1つを暗号による所有証明(Proof of Possession)とすることを義務付けています。

FIDOアライアンスでは、W3Cと共同でオープン な業界標準を開発しました Windows 10、Android、世界で最も普及しているWebブラウザ、iOS SDK、さまざまなハードウェアセキュリティキーにすでに組み込まれている高保証の強力な認証を実現します。 これらのネイティブ機能がほとんどの新しいデバイスに標準装備されているため、FIDOはMFA機能への投資を検討している企業にとって最良の選択肢となっています。 これは、データ侵害の商業的および規制上のコストから最高レベルの保護を提供する唯一の選択肢です。標準ベースで、ベンダーに依存せず、将来性があります。また、パスコードの入力をボタンの簡単なタッチやセンサーの一瞥に置き換えることで、最高のユーザーエクスペリエンスと互換性があります。 これが、Google、Facebook、Microsoft、PayPal、eBay、T-Mobile、ING、Mastercard、Intuitなどの主要なサービスプロバイダーが、データ侵害のコストの増加からビジネスを保護するためにFIDO認証に投資している理由です。