/

2要素認証が効かない 中間者攻撃の恐怖

いまさら聞けない注目テック用語

セキュリティーに意識の高い利用者であれば、「2要素認証」という言葉を知っているだろう。利用者だけが知っている情報(パスワードなど)に加えて、スマートフォンに届くワンタイムパスワードなども確認して認証する方式だ。だがこの2要素認証を突破するサイバー攻撃が発生している。

セキュリティー対策ソフトのトレンドマイクロによると、「国内のネット銀行を対象に2要素認証を突破するフィッシングサイトは2018年末くらいに登場して、19年9月以降急増している」(セキュリティエバンジェリストの岡本勝之氏)状況だ。

攻撃手法はこうだ。メールやショートメッセージ(SMS)で、「セキュリティー更新のための手続きをお願いします」など銀行のふりをしたフィッシングメールを被害者に送りつける。被害者がメールに書かれたリンク先にアクセスすると、一見正しい銀行のサイトのように見える偽サイトに誘導される。ここでログインするとアカウントとパスワードが盗まれてしまう。

攻撃者はこれを利用して不正に口座にアクセスして、別の口座へ預金を振り込むよう操作する。このときワンタイムパスワードが被害者に送られる。偽サイトでワンタイムパスワードの入力画面を表示させ、被害者がワンタイムパスワードを入力すると攻撃者に盗まれ、決済が完了してしまうというわけだ。

こうした攻撃は利用者とサービスの中間に攻撃者が入り込むことで成り立つため、「中間者攻撃」と呼ばれる。

中間者攻撃自体は決して最近出てきたものではない。通信経路の途中に割り込んでウェブの暗号通信をひもとく攻撃などもある。こうした攻撃はウイルスなどのマルウエアに感染した結果、不正プログラムがパソコンに常駐して攻撃することが多かった。

フィッシングサイトを利用した中間者攻撃が出てきたのは、2要素認証に対応したサービスが増えてきたからでもあるだろう。

重要なのは、攻撃するにはフィッシングサイトなど「中間」に入り込む手立てが必要だという点だ。逆に言えば、ここを押さえれば攻撃を防げる。メールに記載されたリンク先をクリックしない、怪しいサイトに近づかない対策が肝要だ。

最近はSMSを使ったフィッシングが増えている。SMSは送信元の名前を簡単に偽造できてしまうためだ。SMSで送られてきたサイトへのアクセスは厳禁と考えた方がよい。

2要素認証が突破されるから、その価値がなくなるわけではない。リスト型攻撃など見知らぬ攻撃者に勝手にアカウントを乗っ取られる可能性はほぼなくなるからだ。隙を突かれないよう注意すれば、今も有用なツールだ。(北郷達郎)

初割ですべての記事が読み放題
今なら2カ月無料!

セレクション

トレンドウオッチ

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン