2FAバイパスツールがもたらした二要素認証安全神話の終焉SMSベースの認証は脆弱

セキュリティ研究者が、SMSベースの二要素認証をバイパスするツールを公開。このツールによって二要素認証が必ずしも安全ではないことが明らかとなった。

2019年02月27日 08時00分 公開
[Warwick AshfordComputer Weekly]

 あるセキュリティ研究者が「Gmail」などのサービスで使用される二要素(2FA:Two Factor Authentication)認証を回避する概念実証ツールを公開し、企業セキュリティにおいて最も攻撃を受けやすい脆弱(ぜいじゃく)性を明らかにした。

 ソーシャルエンジニアリングは深刻な脅威であり、軽視できないと語るのはポーランドのセキュリティ研究者ピオトル・ドゥズインスキー氏だ。

 同氏は自身のブログに次のように記している。「ペネトレーションテストの長年の経験から、顧客の内部ネットワークに正当な足掛かりを得る最も簡単かつ効果的な方法がソーシャルエンジニアリングであると分かっている」

 境界を保護しているセキュリティ防御をかいくぐるのにゼロデイ脆弱性は必要ない。セキュリティを侵害して機密データにアクセスするのに必要なのは「2〜3通の電子メールを送るか電話をかけるだけ」だと攻撃者は知っていると同氏は言う。

 この事実を示すため、同氏は正当なユーザーの資格情報を可能な限り効率良く盗み出すフィッシングキャンペーンを作成する目的で、Go言語を使って「Modlishka」というツールを開発した。

 このリバースプロキシツールは、ユーザーガイドラインと共にGitHubで入手できる。このツールを利用すれば、現在使われているほとんどの2FA認証手法を迂回(うかい)できる。ドゥズインスキー氏の話では、このツールが用いるのは「これまで長期にわたって」利用してきた技法だという。

 さらに同氏は、サイバー防御の効果をテストする企業のレッドチームだけでなく、効果的なフィッシングキャンペーンを作成したいペネトレーションテスト担当者の役に立つとして、このツールの開発と公開の正当性を主張している。

 このツールは、ユーザーと正当なサイトの間に感知できないフィッシングサイトを配置して、第二要素の認証コードなどの資格情報を入手する。ユーザーに詳細情報を入力させる偽サイトを作成する必要はない。

 ただし、このリバースプロキシ技法はユニバーサル二要素認証(U2F)を使用する2FA手法では機能しない。U2Fとは、暗号鍵と秘密鍵を使ってアカウントの保護やロック解除を行う物理認証端末の一種だ。

 Modlishkaが機能するのは、モバイルテキストによって送られるコードを利用する手法だけなので、2FAを破れるわけではない。だが、個人も企業もユーザー資格情報を盗むことを目的としたフィッシングやソーシャルエンジニアリングにさらに注意すべきだと同氏は言う。

 「ブラウザのアドレスバーに表示されたドメイン名が悪意のあるサイトではないかどうかを常に確認したり、別のURLのスプーフィングバグがまだあるのではないかと心配したりするのが嫌なら、U2Fへの切り替えを検討することだ」と同氏は言う。

 ただしこの技法は、URLバーのスプーフィングを許してしまうブラウザのバグやユーザーの認識不足を明らかにするだけでなく、最も価値の高い資産を敵に渡してしまう恐れがあることを示しているとドゥズインスキー氏は警告する。

 「最終的には、ユーザーがしっかり認識しなければ、最も洗練されたセキュリティ防御システムでさえ失敗する恐れがある。その逆も言える。つまりユーザーが認識していれば失敗はしない」(ドゥズインスキー氏)

 英国ESETのサイバーセキュリティ専門家ジェイク・ムーア氏は次のように警鐘を鳴らす。

 「ドゥズインスキー氏の概念実証のアイデアは、標的型攻撃に悪用される恐れがある。ただし攻撃を成功させるには、適切な犠牲者にフィッシング攻撃を仕掛ける必要がある。さらに、コードが期限切れになる前に対象のアカウントにログインするため、盗んだ資格情報と2FAコードをリアルタイムで監視する必要もある」

 「これは巨大なフィッシングキャンペーン向けの技法ではない。だがCEOが注意すべきであることは明らかだ。また、疑わしいリンクでユーザーが個人データを入力しなければと感じてしまう場合に備えて、フィッシング電子メールについてユーザー教育を施す必要性も示している」(ムーア氏)

 2FAセキュリティコードの時間制限を短くすれば、攻撃者はより短時間しか2FAセキュリティコードを使用できなくなるため、この種の攻撃の緩和策になるだろう。また、認証コードアプリは一般に入力時間枠がより短い。そのため、ドゥズインスキー氏のツールを悪用して収集したコードを攻撃者が利用する機会は制限されるだろうとムーア氏は言う。

 2018年8月、RedditはSMSベースの2FAの脆弱性を公開し、2FAを使用してもパスワードが漏えいすることを報告している。

 アカウントのセキュリティを向上させる手段として2FAが広く推奨されているが、SMSベースの2FAには欠陥があることが知られている。

 Redditは声明の中で、「SMSベース認証は当社が希望するセキュリティレベルに達しておらず、主な攻撃はSMSをインターセプトすることによって行われていることが分かった。そこでこの点を指摘して、トークンベースの2FAへの移行をユーザーに促している」と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news071.jpg

「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...

news067.jpg

ボストン コンサルティング平井陽一朗氏が語る 日本企業のイノベーションを阻む「5つの壁」
企業の変革を阻む5つの壁とそれを乗り越える鍵はどこにあるのか。オンラインマーケットプ...

news175.jpg

日清食品がカップ麺の1〜5位を独占 2024年、最も手に取られた新商品は?
カタリナマーケティングジャパンは、カタリナネットワーク内小売店における年間売り上げ...