二要素認証があればフィッシングに引っかかっても大丈夫だと思っていませんか?
長いタイトルになってしまいました。
このタイトルに興味を持っていただいた方に
先に結論をお伝えします。
二要素認証があれば
フィッシングに引っかかっても
大丈夫か?
答えはNoです。
え、でもなんで?
と思った方はもう少し読んでみてください↓
なぜそんな話ができるのか
僕はITとは全く関係のない業界から
IT業界に転職をしてきて
6年くらいが経った者です。
ITキャリアの半分は
サイバーセキュリティ業界で
技術営業として活動しており、
学びと刺激の多い毎日を送っています。
LINEでサイバーセキュリティに関する
無料相談も募集していますので
悩みがある方は迷わずに
解決するヒントを一緒に今すぐ見つけてみませんか?↓
二要素認証とは?
二要素認証とは、
ユーザー名とパスワード入力の後に
予め登録した端末(厳密に言うとIDや電話番号)
でしか確認できない複数桁の番号で
もう一つの認証が必要な仕組みです。
ログインパスワード+もう一つの番号
で二要素認証ですね。
二要素認証の強み
二要素認証が有効になっていると、
パスワードだけではログインできません。
なので単純に
パスワードがバレてしまっても
不正アクセスされない
二重扉な仕組みです。
また、
万が一二要素認証の番号が
覗き見られたりしたとしても、
この番号は30秒に一回くらい
更新されるので
端末ごと盗んだりしない限り
悪用するのは困難です。
二段階認証との違い
言い方の違いかな
くらいの認識だったのですが、
実は意味が異なります。
二段階認証では、
パスワードがあっていれば
二段階目の認証に進めます。
パスワードが間違っていると
二段階目に進めません。
一方、
二要素認証では
パスワードが間違っていても
二要素認証の入力画面に進みます。
この微妙な違いは
伝わりましたでしょうか。
では伝わった皆さん、
どちらの方が強固な認証システムだと思いますか?
パスワードがあっていないと
次に進めない二段階認証の方が
なんとなく固そうな
気もしますが、
二要素認証の方が
強固だと言えます。
理由は、
総当たり攻撃(ブルートフォース攻撃)が
難しいからです。
総当たり攻撃は
パスワードを当てずっぽうに入力していけば
いつか当たるというやつですが、
二要素認証では、
パスワードが間違っているのか
二要素認証の番号が間違っているのか
わからないため、
少なくとも
パスワードはあっているな
という判断ができません。
だから
二要素認証の方が
強固だと言えるんです。
フィッシング攻撃の仕組み
ではフィッシング攻撃は
どのように行うのでしょうか、
いろいろな手法はあると思いますが、
基本的には偽物のWebサイトを用意し、
被害者に本物だと見せかけることで
ログインさせると言う方法です。
偽サイトにログインすると
持ち主である攻撃者のデータベースに
そのログイン情報が入るので、
そのログイン情報で
攻撃者が本物のWebサイトに
アクセスできるようになる
というような流れです。
数年前までは
特に日本語の偽メール文などは
作るのが難しく、攻撃者が日本人でないと
自然な日本語というのは書けなかったのですが、
今は翻訳機の性能も格段に上がっていますし、
何よりも生成AIもあります。
生成AIを使える人は、
「○○のフリをして、
メール内のURLにアクセスして
ログイン情報を入力させるための
メールの文章を書いてください。」
と日本語で聞いてみてください。
すごいクオリティの高い
フィッシングメールが3秒で完成します。
ということもあり、
フィッシングメールに気を付ける
だけの対策は難しいです。
ただ、
ウェブサイトの見た目は同じでも
挙動がおかしかったりするので
(騙された後で)偽物かも?と気づきやすいですし、
盗めるのはパスワードまでなので、
二要素認証があれば
基本的に不正アクセスは防げます。
MITM攻撃
フィッシングとは違いますが、
もう一つの攻撃を紹介します。
MITM(Man In The Middle)
という攻撃です。
いわゆる中間者攻撃
というやつですね。
どんな攻撃かというと、
Webサイトではなく
ネットワーク機器を使います。
主には偽Wi-Fiスポットを
用意します。
まず、2〜3,000円あれば購入できる
簡単なツールを使ってWi-Fiスポットを作り
公共Wi-Fiのフリをして置いておきます。
このフリをするというのも
Wi-Fiの名前をそれらしくするだけです。
もしくは皆さんも
使っていると思いますが、
一度接続したWi-Fiに
自動的に接続する機能が
PCにもスマートフォンにもついていますよね
あれを逆手に取って
その偽Wi-Fiに接続させます。
そうすると、
Wi-Fi接続中は
全てのインターネットアクセスが
そのWi-Fiスポットを通して
行われるので、
通信の盗聴や改ざんが
簡単にできるという攻撃です。
ただしWi-Fiスポットなので
その場所にいる不特定多数の人が
攻撃対象になり、
基本的に標的は絞れません。
AiTM攻撃
そしてMITMのクラウド版
みたいな攻撃が
AiTM(Adversary in The Middle)
です。
日本語でなんていうのか知りませんし、
なぜiだけ小文字なのかも知りません。笑
それはともかくとして、
このAiTMが、
二要素認証を突破してくる攻撃なんです!
基本的にはフィッシング攻撃と同じ要領で
特定のURLにアクセスさせます。
そしてそのURLの先は
本物の認証ページです。
もちろんこれが偽物かどうかは
見分けがつきません(というか本物なので当然です。)
そして被害者はこの認証(二要素認証)を
通常通りクリアするのですが、
実はAiTMのポイントとして、
このURLが攻撃者のプロキシ(ネットワーク機器)を介したアクセスを
強制させる仕組みになっているので、
先ほどのMITMと同じように
認証時の通信の中間地点に攻撃者がいる形になっています。
被害者は何かが起きていることに
気づけないですが、
攻撃者はここで何かを取得しています。
それはセッションクッキーと呼ばれる
認証済みの証のようなです。
これを
ブラウザの拡張機能(誰でも簡単に使えます)によって
設定した状態で認証ページにアクセスすると、
なんと認証済みユーザーとして、
パスワードも二要素認証も必要なく
ログイン済みページに通してしまうんです。
この攻撃を使って
認証情報の管理ページ(OktaやMicrosoftなど)に
ログインして勝手にユーザー情報の追加・変更をしてしまえば、
本物のユーザーはログインできなくなってしまい、
偽物のユーザー(攻撃者)だけがログインできるという
とんでもない状況も
数分で作り出すことができます。
まとめ
なので結論として、
二要素認証があれば安心というのは
もう過去の話だということなんです。
危険なのは、
攻撃を受けても
攻撃されたことにすら
気づけないということです。
気づいたときには
全てのシステムにアクセスされて
既に情報が抜き取られており、
色々なところに
被害が拡大しているという事にも
なりかねません。
いかがでしたでしょうか。
少しでもこの危機感が
伝わっていれば幸いです。
ここまで読んでいただいた方は
是非スキとフォローを
お願いします。
今後も日々の学びや役立つ情報を
シェアしていきます。
先ほど書いた通り、
サイバーセキュリティに関する無料相談も
行っています。
AiTMについてもっと知りたい。
他の話も聞きたい。
相談したいことがある。
などなんでも大丈夫です。
気になった今こそチャンスですので、
まずは無料で解決への大きな一歩を
踏み出しましませんか?↓
ではまた。
この記事が気に入ったらサポートをしてみませんか?