C
月内に
韓国の多くの公的機関や民間サイトにおいて、連系情報(CI)をパスワード変更や個人情報修正の認証手段として誤用している実態
📌 一言でいうと
韓国の多くの公的機関や民間サイトにおいて、連系情報(CI)をパスワード変更や個人情報修正の認証手段として誤用している実態が判明しました。CIは同一人物を識別するための識別子であり、秘密情報ではないため、CIの一致のみで認証を許可すると、CI流出時にアカウント乗っ取りに直結する危険があります。KISAなどの専門家は、多要素認証などの適切な本人確認手順への改善を急ぐよう警告しています。
🔍該当判定
- 自社で運営しているWebサイトや会員システムがある
- ユーザーの本人確認に、韓国のCI(Connecting Information/連係情報)を利用している
- パスワード再設定や会員情報の変更時に、CIの一致確認のみで認証を完了させている
- SMS認証やメール認証などの追加認証を介さず、CI等の識別子のみでパスワード変更を許可している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
CIを認証情報(パスワードやOTPの代わり)として使用せず、携帯電話本人確認、共同証明書、簡便認証などの多要素認証(MFA)を導入すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】本人確認における連系情報(CI)の誤用リスクについて
お疲れさまです。本人確認体系の脆弱性に関する情報共有です。
■ 概要
一部のシステムにおいて、ユーザー識別子であるCI(Connecting Information)を、パスワードリセット等の認証手段として利用している事例が報告されています。CIは秘密情報ではないため、流出した場合に第三者が容易にアカウントを乗っ取れるリスクがあります。
■ 影響範囲
- CIを認証の根拠としてパスワード変更や情報修正を許可しているシステム
■ 対応手順
1. 自社サービスにおいて、CIの一致のみでパスワード変更等の特権操作を許可していないか確認する。
2. CIに依存せず、SMS認証、電子証明書、生体認証などの多要素認証(MFA)を導入し、本人確認フローを厳格化する。
■ 参考情報
- KISA 本人確認支援ポータル
対応優先度: 高
対応期限: 次回システム監査またはアップデート時
お疲れさまです。本人確認体系の脆弱性に関する情報共有です。
■ 概要
一部のシステムにおいて、ユーザー識別子であるCI(Connecting Information)を、パスワードリセット等の認証手段として利用している事例が報告されています。CIは秘密情報ではないため、流出した場合に第三者が容易にアカウントを乗っ取れるリスクがあります。
■ 影響範囲
- CIを認証の根拠としてパスワード変更や情報修正を許可しているシステム
■ 対応手順
1. 自社サービスにおいて、CIの一致のみでパスワード変更等の特権操作を許可していないか確認する。
2. CIに依存せず、SMS認証、電子証明書、生体認証などの多要素認証(MFA)を導入し、本人確認フローを厳格化する。
■ 参考情報
- KISA 本人確認支援ポータル
対応優先度: 高
対応期限: 次回システム監査またはアップデート時
Subject: [Security Alert] Risks of Misusing Connecting Information (CI) for Authentication
Dear IT/Security Team,
We are sharing information regarding a vulnerability in identity verification processes.
■ Overview
It has been reported that some systems are incorrectly using Connecting Information (CI) as a credential for password resets and profile updates. Since CI is a persistent identifier and not a secret, its leakage can lead directly to account takeover if used as the sole means of authentication.
■ Scope
- Systems that permit password changes or sensitive data modifications based solely on CI matching.
■ Mitigation Steps
1. Audit current authentication workflows to ensure CI is not being used as a substitute for a password or OTP.
2. Implement robust Multi-Factor Authentication (MFA), such as SMS verification, digital certificates, or biometric auth, for sensitive account operations.
■ Reference
- KISA Identity Verification Support Portal
Priority: High
Deadline: Next system audit or update cycle
Dear IT/Security Team,
We are sharing information regarding a vulnerability in identity verification processes.
■ Overview
It has been reported that some systems are incorrectly using Connecting Information (CI) as a credential for password resets and profile updates. Since CI is a persistent identifier and not a secret, its leakage can lead directly to account takeover if used as the sole means of authentication.
■ Scope
- Systems that permit password changes or sensitive data modifications based solely on CI matching.
■ Mitigation Steps
1. Audit current authentication workflows to ensure CI is not being used as a substitute for a password or OTP.
2. Implement robust Multi-Factor Authentication (MFA), such as SMS verification, digital certificates, or biometric auth, for sensitive account operations.
■ Reference
- KISA Identity Verification Support Portal
Priority: High
Deadline: Next system audit or update cycle