最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆不正ログイン防ぐ「二段階認証」の弱点――破られる前に知っておこう(2018/08/30) | メイン | ◆Windowsの「タスクスケジューラ」に未修正の脆弱性見つかる(2018/08/31) »

2018/08/31

◆不正ログイン防ぐ「二段階認証」の弱点(2)――二段階目の認証が破られる3つのケース(2018/08/31)

  「二段階認証」は、従来からのID/パスワードによる本人確認に、別の方法での確認を追加することで、アカウントの安全性を高める。パスワードは第三者に知られるとなりすまされてしまうが、追加した方法にもなりすましが可能になる弱点がある。

 ID/パスワードが知られても、それだけではログインできないようにする二段階認証だが、この二段階目の認証も破られる被害が起きている。メールアカウントへの侵入やマルウェア(ウイルス)感染によるものもあれば、偽サイトやなりすましメッセージに騙されたユーザーが、自ら二段階目の認証コードを渡してしまうことも多い。「感染しない」、「騙されない」は、セキュリティ対策の永遠の課題だ。

■メールアカウントの不正ログインによる被害事例

 二段階認証に使用する認証コードの送付先をメールアドレスに設定した場合には、そのメールアカウントに侵入されると、送られてきた認証コードを盗まれてしまうということを肝に銘じて頂きたい。通知メールを転送・削除するように設定されたり、迷惑メールに登録されたりすると、気付くことなく認証を突破されてしまう恐れがある。

 サービスに登録したメールアドレスは、パスワードの再設定などのアカウントのリカバリーにも使われることがあるので、二段階認証に使用しない場合も、登録メールには不正ログインされにくい堅牢なものを選びたい。

 不正ログインに強いメールサービスもまた、ID/パスワードだけでは利用できないようになっていることが条件だ。Webメールには、2段階認証が利用できること。アプリを使う場合は、公式アプリしか利用できないもの。公式ではなく他社製のアプリも使えるようになっている場合は、アプリ認証やアプリ専用のパスワードを使用しなればアクセスできないものが良い。大手の無料サービスでは、アップルやグーグル、マイクロソフトのメールがこれらの条件を満たしている。

 利用者の多いヤフーメールは、標準設定では二段階認証を設定していても、ID/パスワードだけでアプリから直接メールにアクセスできてしまうので注意したい。「Yahoo!メール」の[メール設定]で[IMAP/POP/SMTPアクセスとメール転送]を選択し、[Yahoo! JAPAN公式サービスを利用したアクセスのみ許可する]にしておくと、不正ログインに強くなる。

■マルウェア(ウイルス)感染による被害事例

 感染したマルウェアにアカウント情報を盗まれる被害は、これまでにも多数報告されている。金融機関やクレジットカード会社のWebサイトにログインする際に、偽の画面を表示するWindows用のマルウェアは、現在も頻繁にばらまかれている。

 先ごろ話題になった「宅配便の不在通知を装うSMS」の誘導先で、Android端末にインストールさせようとした偽アプリには、SMSの送受信機能が備わっていた。本人確認の手段にSMSを使用するサービスは多いが、届いたSMSが盗み取られてしまうと、SMS認証は完全に無力化してしまう。この偽アプリが、実際に二段階認証そのものを破ったのかどうかは分からないが、感染者の間でSMSを使用した認証(電話番号と、電話番号宛てにSMSで届く認証コードを使用し、電話番号の持ち主であることを確認する)だけで利用できる一部のキャリ決済が、第三者に使い込まれるという被害が多発した。

■フィッシングによる被害事例

 二段階認証は、アカウント情報を騙し取るフィッシングにも効果的だった。騙し取ったアカウント情報を使用しても、それだけではログインできないからだ。ところが、その場で本物(公式のサイトやアプリ)を入力情報で操作してしまう中継型のフィッシング(中間者攻撃)の出現により、二段階認証を利用していても安心していられない状況になってしまった。

 今年になってから頻繁に発生している大手通信事業者を装うフィッシングでは、2種類の攻撃が確認されている。ひとつは、先の宅配便の偽アプリと同じSMS認証で利用できるキャリ決済を使い込むタイプで、ユーザーに電話番号とSMSで届く認証コードを入力させ、裏で即座にそれを本物に適用する。もうひとつは、サービスに不正ログインするタイプで、ID/パスワードを入力させ、裏でそれを本物に適用。続く2段階認証に応じ、SMSやメールで届くコードを入力させたり、ユーザーにアプリを操作させたりする。

 アプリを使う認証は、メールやSMSのようにコードを横取りされることがないので安全性が高いのだが、騙されたユーザーが自分で操作してしまうと効果を発揮できない。公式サイトにログインしているつもりでいるユーザーは、アプリが生成するコードの入力も、届いた通知に対するログイン許可も、躊躇なく実行してしまうだろう。ユーザーが騙されてしまうことで発生する被害は、二段階認証になっても変わらない。

■なりすましメッセージによる被害事例

 フィッシングやなりすましメッセージによるLINEの乗っ取りが後を絶たない。LINEの利用には、電話番号認証を行うのが基本で(Facebook認証も可)、電話番号とLINEアプリが1対1で紐付けられる。LINEアカウントに登録したメールアドレスとパスワードでLINEアプリにログインし、電話番号認証を行うと、アカウント情報や友だちリストなどの情報を別の端末のLINEに移行することもできる。この仕組みを悪用したのがLINE乗っ取りで、ユーザーを偽サイトに誘導してログインさせ、電話番号とSMSや音声通話で届く認証コードを入力させるフィッシングも多発している。

 なりすましメッセージを使うタイプは、LINEやFacebookなどのSNSのメッセージング機能を使用し、知人になりすまして電話番号とSMSや音声通話で届く認証コードを聞き出す手口が主流だ。LINEアプリの新規登録で、入手した電話番号と認証コードを直ちに使えば、その電話番号の持ち主のLINEアカウントが誕生し、本来の持ち主であるユーザーは即座にLINEから追い出されてしまう。

 新規登録で作成したLINEアカウントは、その電話番号をアドレス帳に登録しているユーザーを探し出し、「友だちかも」と教えてくれる。移行手続きでアカウントごと乗っ取った場合には、「友だちリスト」が付いてくる。乗っ取り犯は、あなたになりすましたメッセージをリストに記載されている人達に送り、コンビニでプリペイドカードを購入するように依頼する。あなたからの依頼だと信じた人たちがそれに従ってしまうと、乗っ取り犯は彼らからカードの番号を聞き出し、額面の金額を騙し取ってしまう。

(2018/08/31 ネットセキュリティニュース)

【関連記事:ネットセキュリティニュース】
・不正ログイン防ぐ「二段階認証」の弱点――破られる前に知っておこう(2018/08/30
・止まらない不在通知SMS、不明なアプリのインストールは厳禁(2018/08/03)
・宅配便の不在通知を装うSMS急増、誘導先でマルウェア感染のおそれ(2018/07/23)
・狙われる「キャリア決済」、通信事業者を装うフィッシングに注意(2018/04/19)
・本人確認に使われるSMS認証に注意、「なりすまし」被害のおそれ(2018/07/06)

投稿情報: 11:33 |

|