午前7時のしなもんぶろぐ

駆け出しのセキュリティエンジニア、しなもんのぶろぐ。

2段階/2要素認証を破るフィッシング!? 凶悪なフィッシングの手口!

セキュリティ フィッシング 攻撃手法

こんにちは(╹◡╹)!

しなもんです!!

 

本日はちょっとハイレベルなお話になります……。

2段階/2要素認証を破る新型のフィッシング詐欺の動向についてです!

 

 認証とは?

今回はちょっとハイレベルな内容のため、前半は言葉の説明が主になります。退屈だとは思いますがどうかついてきてください……。

まずは「認証」についてです。

 

認証 (Authentication) とは、誰かが「あなたが本当にあなたであると認めること」です。

 

例えば友達同士なら、顔を知っているので会えば誰だかすぐ確認できますね。意識して行っているわけではありませんが、これは認証です。あなたが、友達の〇〇さんを認証しているのです (同時に友達の〇〇さんもあなたを認証しています) 。

 

しかし、ネットワークを介する場合、その向こうの誰か (例えば Web サービスの運営者) は「〇〇 (あなた) です」といって接触してきた人が、本当にあなたかどうかは顔ではわかりません。

 

悪意のある犯罪者かもしれませんし、人ですらなくて自動プログラムかもしれません。

 

そこで、顔ではない何か別の方法で、本当にあなたであると確かめる必要があります

 

その手段としては、例えばパスワードが広く使われています。

 

2段階認証とは?

2段階認証は、認証の手続きを一度に済ませるのではなく、「もう1回何かで認証する」手続きです。

 

例えばあるサービスでは、1段階目が「ID/パスワード認証」だったとします。

 

あなたはそのサービスにログインするため、ID とパスワードを入力しました。

 

すると、また別の何かを入力する画面になりました。この手続きが2段階認証の2段階目です。

 

f:id:am7cinnamon:20200215210246p:plain

 

ここで入力する内容としては、「メールや SMS で送られてくるワンタイムパスワード*1」が有名です。

 

2段階認証は、パスワードを予測したり総当たりしてログインを試みるパスワードクラックや、どこかから流出したパスワードを使ってログインしようとするリスト型攻撃*2を効果的に防ぐことができます。

 

ただ、2段階目が何であっても2段階には違いないので、生年月日など秘密じゃない情報*3での認証で2段階認証と自称しているサービスもなくはないです(´・ω・`)。

 

2要素認証とは?

 よく似た言葉ですが、2段階認証とは別ものです。たまに IT 系メディアの記者なども間違えて記事を書いています*4……。^^;

 

 2段階認証が「認証の手続きを 2 回行う」ことに着目した認証方式なのに対し、2要素認証では「認証の要素を2つ取り入れる」点に特徴があります。

 

認証の要素 (factor) には、一般的に次の 3 種類があります。

  1. 知識認証本人しか知らないことを答える。パスワード、合言葉など。
  2. 所持認証本人しか持っていないものを提示する。IC カード、身分証明書など。
  3. 生体認証本人の体の特徴を提示する。顔、指紋、静脈など。

 (認証の要素の呼び方にはいろいろあります。例えば知識認証なら「何を知っているか」「知る要素」「Something you know」「What you know」などです。表現形態にはあまりこだわらないようにしましょう。)

 

 これら3つのうち2つを取り入れたものが2要素認証です。

 

わかりやすいのは ATM (現金自動預払機) での取引ですね。

 

f:id:am7cinnamon:20200215210447p:plain

 

ATM でお金を引き出したり振込を行うには、まずキャッシュカードを挿入します。キャッシュカードはあなたしか持っていない (はずの) ものなので、これで認証要素のひとつ「所持認証」ができました*5

 

 続いて暗証番号の入力を求められます。暗証番号はあなたしか知らない (はずの) ものなので、これが「知識認証」になり、要素を2つ揃えることができました。

 

ここまで来てはじめて、ATM で取引ができるようになります。

 

カードだけなら盗まれる恐れがありますし、暗証番号だけでは何かの拍子に誰かに知られればそれまでですが、他人が両方とも揃えるのはかなり困難です。これが2要素認証のいいところです。

 

3つの要素を全部使う場合も含めて、多要素認証ということもあります。

 

このように2段階認証と2要素認証はまったく定義の異なるものですが、以下では厳密に区別せず、「2段階/2要素認証」と呼びます。

 

 2段階/2要素認証を破るフィッシングの手口とは?

長くなりましたがようやく本題です。

 

「フィッシングって何?」という方はこちらをどうぞ。

am7cinnamon.hatenablog.com

2段階/2要素認証は従来の ID/パスワードだけに頼る認証方式に比べ安全性が高いとされ、現在では多くのサービスが導入しています。

 

ところが、最近この2段階/2要素認証さえも破るフィッシングの被害が出ているというのです。

 

参考: サービス&セキュリティ株式会社

www.ssk-kan.co.jp

参考:トレンドマイクロ株式会社

blog.trendmicro.co.jp

その手口はこういうものです。

(説明のため、2段階認証として、SMS でワンタイムパスワードが送られてくる場合を想定しています。)

 

  1. あなたに銀行 (などのサービス) からすぐログインすることを促すメール*6が届きます。
  2. あなたはそれに記載されていたリンクをクリック (タップ) し、銀行のページによく似た、悪い人が用意した偽のサイトにアクセスしてしまいます。
  3. あなたはログインのため、ID とパスワードを入力してしまいます。
  4. あなたはログインボタンを押します。ここで悪い人のところにあなたの ID とパスワードが送られてしまいます。ここまでは普通のフィッシングと同じです。でも、2段階/2要素認証を使っているため、悪い人はこれだけでは不正利用できないはずです。
  5. このとき悪い人は、あなたからだまし取った ID とパスワードを、リアルタイムで「本物の銀行のサイトに」入力しています。おそらく手動ではなくプログラムで自動的に行っているのでしょう。
  6. 2段階/2要素認証のため、銀行はワンタイムパスワードの入力を促すページを表示する*7とともに、あなたにワンタイムパスワードが書かれた SMS を送信します。
  7. 同時にあなたが見ている偽サイトもワンタイムパスワードの入力を求める画面を表示します。あなたはそれに、届いた SMS に書かれていたワンタイムパスワードを入力してしまいます。
  8. あなたはログインボタンを押します。するとワンタイムパスワードが悪い人に贈られ、悪い人はそれをそのまま本物の銀行のサイトに入力します。これで悪い人は2段階/2要素認証をクリアし、ログインできてしまいます
  9. 悪い人はログインできましたので、あとはお金を不正に送金したり、個人情報を見たり、好き放題できてしまいます。

 

 この手口のポイントは、「あなたが偽サイトに入力した情報を、悪い人がリアルタイムで本物のサイトに入力している」ということです。

 

あなたは偽サイトのことを本物のサイトだと思っていますし、本物のサイトは悪い人のことをあなただと思っています (何せあなたにしか伝えていないはずのワンタイムパスワードを正確に入力してきたのですから!) 。

 

このように、正規の利用者 (=あなた) と正規のサイト (など) の間に割り込んで、通信を盗聴したり改ざんしたりする攻撃法のことを、一般に「中間者攻撃*8と呼んでいます。

 

 対策は?

この手法を使った攻撃への固有の対策はありません。普通のフィッシングと同じです。

 

一番良いのは、メールなどで届いたリンクなどにアクセスしないことです。

 

アクセスしてしまうと、現れるのは本物そっくりのサイトです。認証の手続きにも、ほとんど不自然な点はありません。

 

アクセスした後で「これはおかしい」と気づくのは非常に困難です

 

2段階/2要素認証を使っているからといって安心せず、基本を忠実に守りましょう。

 

2段階/2要素認証は無意味なの?

ここまで読んできて、「こんなに簡単に突破されちゃうなら、2段階/2要素認証なんてやっても意味がないじゃん」と思った方もいると思います。

 

誤解しないでいただきたいのは、決してそうではないということです。2段階/2要素認証の導入はセキュリティ向上に大いに役立ちます。

 

もともと2段階/2要素認証は、リスト型攻撃をはじめとする、パスワード認証を破る攻撃の対策なのです。

 

リスト型攻撃とは、サイト*9をハッキングして手に入れたパスワードのリストを使ってログインを試みる攻撃手法です。

 

自分が気づかない間に不正アクセスされ被害を受けてしまうリスト型攻撃ですが、2段階/2要素認証はこの防止には効果的です。

 

フィッシング防止には役立たなくても、十分利用する価値があるのです。

 

 まとめ

  • セキュリティ向上のため、2段階/2要素認証の普及が進んでいる
  • しかし、それすら破るフィッシング手法が登場した
  • 特別の対策はなく、フィッシング対策の基本を守ることが大事

 

相変わらずフィッシングは国内外を問わず流行しているそうです。

 

その手口もどんどん洗練されてきています。

 

被害を受けないために、日ごろからの注意が必要です!

 

*1:1 回しか使えないパスワードのこと。物理的な媒体に表示されたり、Google Authenticator のようなアプリに表示されるタイプもあります。

*2:パスワードリスト攻撃などとも呼ばれます。

*3:SNS のプロフィールに書いていたり、「今日誕生日!」「誕生日おめでとう」のような投稿があったりするとそこから暴露します。そうでなくとも家族や友人なら知っていることが多いでしょう。

*4:翻訳元の英語記事では「two-factor Authentication (2要素認証)」なのに日本語訳が2段階認証になっているパターンです。

*5:ここでは詳しく説明しませんが、キャッシュカードの読み取りは ID/パスワード認証における ID 入力に相当する「識別 (Identification)」も兼ねています。

*6:説明のためメールと書いていますが、SMS やSNS のメッセージなどでも同じです。フィッシングは〇〇で来る、という思い込みは非常に危険です。

*7:もちろん、それを見ているのは悪い人です。

*8:マン・イン・ザ・ミドル (Man-in-the-Middle, MITM) 攻撃ともいいます。

*9:「そのサイト」に限りません。あるサイト A で入手したパスワードリストを別のサイト B で攻撃に使うこともあります。