機密情報の宝庫｢社内チャット｣の漏洩を防ぐには？ 二段階認証をかいくぐるサイバー攻撃の手口 《私物の業務利用はリスクあり》カギは端末管理

（tadamichi / PIXTA）

近年、外部から社内チャットへ侵入される事例が複数報告されている。社内チャットは、企業の機密情報がたっぷり詰まった宝庫ともいえる。重要施策の方向付けや顧客対応、各種ミーティングの記録などが飛び交っているからだ。

その重要性から、一般的に多要素認証を導入するなど強固な防御策が講じられているが、攻撃者はどのようにしてこの防御をかいくぐって侵入しているのだろうか。また、企業が取り得る対策とは。

「組織の神経網」社内チャットが狙われている

多要素認証は、認証の要素が1つだけの単一要素認証方式よりも強固な認証方式として普及してきた。代表例として、パスワードを入力した後、スマートフォンに数桁の番号が届き、それを入力して2段階で認証が完了する方式がある。

これは、「パスワード＝利用者が知っているもの」と「スマートフォン＝利用者が持っているもの」という複数の要素を組み合わせて本人確認を行う仕組みだ。この認証方式を採用する場合、仮にパスワードが漏洩してもスマートフォンという“本人の手元にある要素”がそろわなければログインは成立しない。

サイバー攻撃やセキュリティの最新動向など、その他の関連記事はこちら

知識と所持という複数の要素を組み合わせることで、認証の確実性を高めているというわけだ。

ほかに、指紋や顔立ちなどの生体情報を加える方式もあるが、いずれにしても認証の要素が複数になるほど不正利用の難易度は高くなるといえるだろう。

しかし、攻撃と防御はいつもイタチごっこの様相を呈する。多要素認証が壁であるならば、その壁を避ける別の手法を探し始めるのが攻撃者のつねだ。