FJWG TCGJ WS20171120final - Trusted Computing Group...Data breaches in 2016 that involved weak, default, or stolen passwords1 Increase in phishing attacks over the number of attacks

All Rights Reserved | FIDO Alliance | Copyright 20171

パスワードのいらない世界へ〜オンライン認証を変えるFIDOとは〜

FIDO JAPAN WORKING GROUPNOK NOK LABS, INC.

宮園充


内容• FIDO認証が出現した背景• FIDOアライアンス概要• FIDO認証の考え⽅• FIDO認証の技術と適⽤• ⽇本での活動• まとめ


パスワード認証における課題

Data breaches in 2016 that involved weak, default, or stolen passwords1

Increase in phishing attacks over the number of attacks recorded in 20152

Breaches in 2016, a 40% increase over 20153

1Verizon 2017 Data Breach Report |2Anti-Phishing Working Group | 3Identity Theft Resource Center 2016

CLUMSY | HARD TO REMEMBER | NEED TO BE CHANGED ALL THE TIME

81% 65%

1,093

パスワードに起因したデータ流出の増加

煩雑覚えるのが⼤変⽇々パスワードの変更も求められる


パスワードの問題：リスト型攻撃同じパスワードを使い回すと、漏れた場合、なりすましや不正アクセスが発⽣

サービスA

サービスB

サービスC

被害者

ID パスワード

yamada.taro taro01234

… …

ID パスワード


… …

ID パスワード


… …

漏えい攻撃者

パスワード

なりすまし不正アクセス

共通のパスワードを設定

パスワード

パスワード

パスワード

⾃社サーバーのセキュリティ管理に問題がなくても、利⽤者のリテラシーや他社サーバーの管理に影響を受け、不正アクセスを受ける可能性あり


パスワードの強化と課題

パスワードとは異なり携帯などのデバイスを所持していなければログインできない→パスワードの安全性を強化しつつも（※)、利便性に課題が残っている

ご利⽤中の携帯電話に送信した４桁のコードを⼊⼒して下さい

次へ

０１２３

PC上のログイン画⾯携帯電話に送信されたコード

帯域外認証(Out of Band認証)の⼀例

コード⽣成器(HW/SW)

登録電話番号への⾳声案内通知

その他の⼿段

488212

（※)近年では⽶国NISTより「SMSを利⽤した帯域外認証については⾮推奨」というアナウンスもされてきている（悪意のあるアプリケーションや攻撃者から⽐較的容易に参照可能な情報であるため、と推測される)

サービスにログインするためのコードを送信します。0123このコードは絶対に他⼈には知らせないで下さい。

SMS

⼊⼒


パスワード⼊⼒におけるチャレンジ

画⾯が⼩さく打ちづらい、間違える、

めんどうくさい…

たくさんのサービスと

パスワードがあり覚えていられない…

ログイン画⾯[email protected]

● ● ● ● ● ● ● ●

ID：

パスワード：

ログイン

q w e r t y u i o p @ [

a s d f g h j k l ; : ]

z x c v b n m , . / _123

shift

<

周りで⼈に⾒られていないか不安…




FIDOアライアンスとはThe Fast IDentity Online All iance(FIDO)

2012年に設⽴されて以来、現在約250社で構成される⽶国カリフォルニア州法に基づくグローバルな⾮営利団体（相互利益法⼈）

パスワードと認証にまつわる課題解決のため、• 「FIDO認証モデル」に基づく技術仕様の策定• 技術仕様を導⼊展開するためのプログラム運営• 各標準化団体との協業などを通じたさらなる導⼊展開を推進

250+のメンバーでグローバルに運営


グローバルなブランドとテクノロジー企業を中⼼に構成するFIDOボードメンバー

+ スポンサーメンバー + アソシエイトメンバー + リエゾンメンバー


FIDOアライアンスとパートナーシップを組むリエゾンメンバー〜連携する標準化団体など

リエゾンメンバー




FIDOアライアンスの⽬指す認証とは

覚えられない

⼊⼒不便漏えいしやすい

再利⽤可能安全性（Security）

パスワードの課題

利便性（Usability）

パスワードへの依存度を減らしつつ、利便性と安全性の両⾯を向上させる


FIDO認証のビジョン

Poor Easy

Wea

kSt

rong

USABILITY

SECU

RITY

（出所：FIDOアライアンス）

FIDOアライアンスは、安全性と利便性の両⽴を⽬指している


公開鍵の利⽤利⽤者

FIDO認証検証

FIDOクライアント FIDOサーバー

認証器署名つき検証結果秘密鍵

利⽤者を検証し、秘密鍵で署名

公開鍵

ID

利⽤者情報

公開鍵で署名を検証

利⽤者が適切な秘密鍵を保有することを確認（検証）することによって認証を実現


従来の認証モデル（リモート認証）リモート認証

ID パスワード

利用者A 12345

利用者B abcde

利用者C password

パスワード：12345

パスワードの⼊⼒ ID・パスワード

認証サーバー利⽤者

利⽤者A


リモート認証の流れ

2.ログインの要求秘密情報の送信

3.秘密情報の検証ログインの受⼊

0.秘密情報の事前登録

認証サーバ

PCなどのデバイス

利⽤者攻撃者1.秘密情報の

⼊⼒

パスワード：12345

ID パスワード

利用者A 12345

利用者B abcde

利用者C password ID・パスワード

リモート認証


FIDO認証モデルFIDO認証モデル

認証サーバー利⽤者

秘密鍵クレデンシャル情報（⽣体情報など）の⼊⼒

公開鍵

検証結果（署名）検証結果の妥当性確認

認証器

認証器PCや携帯などに付属したものや、外付け型式が存在


FIDO認証の流れ

2. チャレンジコードをつけて認証を依頼

1.ログインの要求

4.チャレンジコードに対し秘密鍵で署名

3.クレデンシャル情報（⽣体情報など）の⼊⼒

0.公開鍵の事前登録

認証サーバ

秘密鍵公開鍵

利⽤者

5.事前登録された公開鍵による検証ログインの受⼊攻撃者

FIDO認証モデル


FIDO認証: ほかの認証プロトコルと何が違うのか！？1. サーバに秘密、⽣体情報を持たなくて良い！

パスワードで問題となったなりすましを原理的に防⽌。機密情報の管理にかかるコストを低減。

2. 必要な認証⼿段を後から容易に追加可能！異なる⼿段の認証⼿段を追加してもパッケージの再導⼊は不要、⽅式選定に迷う必要はなく、スピーディな⽴上げが可能。

3. 充実した認定制度と多数の製品ラインナップ！FIDO標準仕様への準拠が担保された製品を利⽤することにより、導⼊時の構築コストは最低限、品質も担保される。

FIDO® Certified (認定)ロゴ

FIDO認証：3つのポイント




認証器を⽤いた認証（FIDO認証）認証のフローを順番にご説明します。

ID

利⽤者情報

サーバー利⽤者認証器(1) 利⽤者認証要求(2) 利⽤者検証

(3) 認証⽤の鍵ペア⽣成利⽤者の検証結果を認証秘密鍵で署名

認証秘密鍵

(5) 認証公開鍵で署名検証

認証公開鍵

(4) 利⽤者検証結果と署名を送付

(6) 検証できれば、利⽤者のIDを抽出


FIDO認証の技術仕様FIDO認証モデルとコンセプトを備える⼆つの技術仕様を策定

▸ パスワードレス型：UAF (Universal Authentication Framework) ▸ パスワード補完型：U2F (Universal 2nd Factor)

経緯▸ 2014年12⽉：1.0版公開▸ 2016年12⽉：1.1版公開

サービス提供者のさまざまな要請に応える柔軟性ある認証


FIDO U2F仕様：パスワード補完型主にPC上でWebブラウザの利⽤を想定した⼆段階認証（Second Fac to r au then t i ca t i on）をサポートする。パスワードで第⼀認証をした後、セキュリティキーに触れるなどの簡単な動作を第⼆認証とする認証シナリオである。USBキーやスマートカードのように着脱⽅式と、BLE (B lue too th Low Energy ) や NFC (Nea r F i e l d Commun i ca t i on ) の無線⽅式に対応している。これは、Goog le、Dropbox、Gi tHub、Facebook などで採⽤されており、フィッシング対策として有効であると報告されている。


U2Fの導⼊事例• FacebookがU2F対応(2017年1⽉)• “ Facebook Makes FIDO Authentication

Available to 1.7 Billion Users”(17億ユーザ)

(出典) https://www.facebook.com/notes/facebook-security/security-key-for-safer-logins-with-a-touch/10154125089265766

（ユースケース）PC上のアプリケーション利⽤時1要素⽬の認証をパスワード2要素⽬の認証をU2F対応ドングルで⾏う

秘密鍵公開鍵

サーバーPC (クライアント)FIDO 認証


FIDO UAF仕様：パスワードレス型主にスマートフォン端末の利⽤を想定し、⽣体認証などの認証⼿段を⽤いて、パスワードは全く使わない認証(パスワードレス)シナリオを実現する。NTTドコモがいち早く端末・商⽤サービスに採⽤したほか、⽶国ではBank of Amer icaが商⽤サービスで採⽤したり、韓国の公的な個⼈認証や決済サービスで広く使われている。


UAFの導⼊事例• NTTドコモ「dアカウント」• ⽣体認証FIDO UAF対応端末発売• FIDO UAF対応認証サービス開始 (2015/5/27〜)

(出典) https://www.nttdocomo.co.jp/service/bio/

（ユースケース）スマートフォンのアプリケーション利⽤時の認証をUAF対応の指紋認証器で⾏う

秘密鍵公開鍵

サーバー

スマートフォン(認証器)

FIDO 認証

FIDO Alliance | All Rights Reserved | Copyright 201727

振込先銀⾏: AAA 銀⾏⼝座番号: 123456⾦額: 10000 円

振込先銀⾏: XXX 銀⾏⼝座番号: 7654321⾦額: 1000000 円

MITM (Man-in-the-Middle) 攻撃から取引データの改ざんを保護(既にUAF仕様でサポート）

銀⾏マルウェア

利⽤者

利⽤者のデバイス

認証器

改ざんされた取引データ

元の取引データクライアント

提⽰された取引データを確認秘密鍵を使って署名を⽣成

元の取引データの署名

署名付き取引データを改ざんしても、署名検証により改ざんを検出し、不正送⾦を防⽌可能

署名

秘密鍵

取引（トランザクション）認証

(参考) 「 FIDO認証の進化とさらなる応⽤展開」第3回FIDO東京セミナー講演 https://fidoalliance.org/wp-content/uploads/FIDOTokyo-gomi-120816-ja.pdf

FIDO Specifications

FIDO 1.1(FIDO)

CTAP*(FIDO)

WebAuthn*(FIDO+W3C)

UVC* (FIDO+EMVCo)


*FIDO 2 Project: In DevelopmentUAF : パスワードレス認証U2F : 2段階認証

FIDO認証モデルに基づくFIDO仕様群

（FIDO 2プロジェクトとして、現在仕様策定中）



FIDO Alliance | All Rights Reserved | Copyright 201730

2016/11/10

2016/7/14

2016/3/7

2015/7/27

2015/5/262014/9/24

2014/10/102015/2/16

2015/5/21

EgisTec主催、Nok Nok Labs参加による国内初のFIDOセミナー

DDS協賛・開催⽀援によるFIDOアライアンスとして初の東京セミナーと「FIDO⽇本上陸」発表などのマーケティング活動

Yahoo! JAPAN五味博⼠による各種講演。第47回電⼦情報利活⽤セミナーなど

NTTドコモによるFIDO UAF 1.0を活⽤したdアカウントFIDO⽣体認証の商⽤導⼊・世界初の虹彩認証スマホ対応などの発表

ISRによるFIDO U2F 1.0活⽤に関するプライベートセミナー

dアカウントFIDO UAF⽣体対応機種が累計38機種にまで拡⼤

https://fidoalliance.org/fido-alliance-welcomes-ntt-docomo-to-board/

NTTドコモ dアカウントFIDO認証をiOS対応https://fidoalliance.org/ntt-docomo-rolls-out-fido-biometric-authentication-to-ios-customers/

DNPによるFIDO仕様に準拠した本⼈認証サービス開発着⼿の発表

第4回FIDO東京セミナー

Yahoo! JAPAN、⽇本マイクロソフトのイベントで「“Windows Hello” にYahoo! JAPANのログインも対応する」と表明

FIDOメンバーの国内での主な取組み・発表

2017/12/8

2016/12/8

FIDO Japan WG設⽴発表

2017/5/17

ボードメンバーとして加盟、FIDO導⼊の意思を表明

2017/10/18

NEC、モバイルサービスの本⼈確認に顔認証を利⽤可能な基盤ソフトウェアでFIDOに対応

富⼠通、「Finplex オンライン認証サービス for FIDO」を提供開始。「みずほダイレクトアプリ」ログインへ導⼊(2017/10/11)

2017/4/11

2017/4/20

FIDO JAPAN WGのミッションと主な活動


ミッションFIDOアライアンスのミッション〜パスワードに代わるシンプルで堅牢なFIDO認証モデルの展開・推進〜を⽇本国内でより効果的に実践する。

▸ 2016年10⽉発⾜・運営開始、2016年12⽉8⽇発表

コミュニケーションの相互⽀援（FIDOアライアンス内で）•⾔語とコミュニケーションスタイル•時差• FIDO標準の理解促進と検討

⽇本語による情報発信（FIDOアライアンス外へ）•ウェブサイト〜主なメッセージ• FIDO標準の導⼊事例•仕様概要や技術⽤語の対照表

マーケティングSWG翻訳SWG 技術SWG

デプロイメント@

スケール SWG

座⻑・副座⻑プログラムマネ

ジャー

FIDO JAPAN WG 定例参加メンバー

All Rights Reserved | FIDO Alliance | Copyright 201732発⾜・運営開始時 10社、発⾜発表時 11社、2017年11⽉8⽇現在 21社

座⻑・副座⻑、SWGリード

副座⻑、SWGリード

副座⻑

SWGリード


まとめ• FIDO認証モデル• パスワードへの依存度を減らす、公開鍵暗号を⽤いた認証• 部品化した認証器によるローカル認証

• FIDO認証の技術仕様• UAF：パスワードレス型• U2F：パスワード補完型

• FIDO認証の応⽤• グローバル・⽇本での事例が増加中

• ⽇本での活動• 東京セミナー、記事寄稿など積極的に展開中


第4回 FIDOアライアンス東京セミナーのご案内■開催⽇: 2017年12⽉8⽇(⾦) 13:00~18:00 (受付開始 12:30~) ■参加費: 無料 ※事前登録制(懇親会は有料)■定員 : 300名■URL : https://www.sbbit.jp/eventinfo/42434 ■会場: ⻁ノ⾨ヒルスフォーラム 4FホールB

東京都港区⻁ノ⾨1-23-3


ご静聴ありがとうございました。

お問い合わせ先• [email protected]

FIDOアライアンスへの参加などに関するお問い合わせ先• [email protected]

FIDOアライアンスへの取材に関するお問い合わせ先

Documents

FJWG TCGJ WS20171120final - Trusted Computing Group...Data breaches in 2016 that involved weak, default, or stolen passwords1 Increase in phishing attacks over the number of attacks