2FAバイパスツールがもたらした二要素認証安全神話の終焉SMSベースの認証は脆弱

セキュリティ研究者が、SMSベースの二要素認証をバイパスするツールを公開。このツールによって二要素認証が必ずしも安全ではないことが明らかとなった。

2019年02月27日 08時00分 公開
[Warwick AshfordComputer Weekly]

 あるセキュリティ研究者が「Gmail」などのサービスで使用される二要素(2FA:Two Factor Authentication)認証を回避する概念実証ツールを公開し、企業セキュリティにおいて最も攻撃を受けやすい脆弱(ぜいじゃく)性を明らかにした。

 ソーシャルエンジニアリングは深刻な脅威であり、軽視できないと語るのはポーランドのセキュリティ研究者ピオトル・ドゥズインスキー氏だ。

 同氏は自身のブログに次のように記している。「ペネトレーションテストの長年の経験から、顧客の内部ネットワークに正当な足掛かりを得る最も簡単かつ効果的な方法がソーシャルエンジニアリングであると分かっている」

 境界を保護しているセキュリティ防御をかいくぐるのにゼロデイ脆弱性は必要ない。セキュリティを侵害して機密データにアクセスするのに必要なのは「2~3通の電子メールを送るか電話をかけるだけ」だと攻撃者は知っていると同氏は言う。

 この事実を示すため、同氏は正当なユーザーの資格情報を可能な限り効率良く盗み出すフィッシングキャンペーンを作成する目的で、Go言語を使って「Modlishka」というツールを開発した。

 このリバースプロキシツールは、ユーザーガイドラインと共にGitHubで入手できる。このツールを利用すれば、現在使われているほとんどの2FA認証手法を迂回(うかい)できる。ドゥズインスキー氏の話では、このツールが用いるのは「これまで長期にわたって」利用してきた技法だという。

 さらに同氏は、サイバー防御の効果をテストする企業のレッドチームだけでなく、効果的なフィッシングキャンペーンを作成したいペネトレーションテスト担当者の役に立つとして、このツールの開発と公開の正当性を主張している。

 このツールは、ユーザーと正当なサイトの間に感知できないフィッシングサイトを配置して、第二要素の認証コードなどの資格情報を入手する。ユーザーに詳細情報を入力させる偽サイトを作成する必要はない。

 ただし、このリバースプロキシ技法はユニバーサル二要素認証(U2F)を使用する2FA手法では機能しない。U2Fとは、暗号鍵と秘密鍵を使ってアカウントの保護やロック解除を行う物理認証端末の一種だ。

 Modlishkaが機能するのは、モバイルテキストによって送られるコードを利用する手法だけなので、2FAを破れるわけではない。だが、個人も企業もユーザー資格情報を盗むことを目的としたフィッシングやソーシャルエンジニアリングにさらに注意すべきだと同氏は言う。

 「ブラウザのアドレスバーに表示されたドメイン名が悪意のあるサイトではないかどうかを常に確認したり、別のURLのスプーフィングバグがまだあるのではないかと心配したりするのが嫌なら、U2Fへの切り替えを検討することだ」と同氏は言う。

 ただしこの技法は、URLバーのスプーフィングを許してしまうブラウザのバグやユーザーの認識不足を明らかにするだけでなく、最も価値の高い資産を敵に渡してしまう恐れがあることを示しているとドゥズインスキー氏は警告する。

 「最終的には、ユーザーがしっかり認識しなければ、最も洗練されたセキュリティ防御システムでさえ失敗する恐れがある。その逆も言える。つまりユーザーが認識していれば失敗はしない」(ドゥズインスキー氏)

 英国ESETのサイバーセキュリティ専門家ジェイク・ムーア氏は次のように警鐘を鳴らす。

 「ドゥズインスキー氏の概念実証のアイデアは、標的型攻撃に悪用される恐れがある。ただし攻撃を成功させるには、適切な犠牲者にフィッシング攻撃を仕掛ける必要がある。さらに、コードが期限切れになる前に対象のアカウントにログインするため、盗んだ資格情報と2FAコードをリアルタイムで監視する必要もある」

 「これは巨大なフィッシングキャンペーン向けの技法ではない。だがCEOが注意すべきであることは明らかだ。また、疑わしいリンクでユーザーが個人データを入力しなければと感じてしまう場合に備えて、フィッシング電子メールについてユーザー教育を施す必要性も示している」(ムーア氏)

 2FAセキュリティコードの時間制限を短くすれば、攻撃者はより短時間しか2FAセキュリティコードを使用できなくなるため、この種の攻撃の緩和策になるだろう。また、認証コードアプリは一般に入力時間枠がより短い。そのため、ドゥズインスキー氏のツールを悪用して収集したコードを攻撃者が利用する機会は制限されるだろうとムーア氏は言う。

 2018年8月、RedditはSMSベースの2FAの脆弱性を公開し、2FAを使用してもパスワードが漏えいすることを報告している。

 アカウントのセキュリティを向上させる手段として2FAが広く推奨されているが、SMSベースの2FAには欠陥があることが知られている。

 Redditは声明の中で、「SMSベース認証は当社が希望するセキュリティレベルに達しておらず、主な攻撃はSMSをインターセプトすることによって行われていることが分かった。そこでこの点を指摘して、トークンベースの2FAへの移行をユーザーに促している」と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 ゾーホージャパン株式会社

システムに侵入され深刻な被害も、サービスアカウントの不正利用をどう防ぐ?

サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。

製品資料 ゾーホージャパン株式会社

“人間ではない”サービスアカウントに潜む、3つのセキュリティリスクとは?

サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。

製品資料 Splunk Services Japan合同会社

デジタル決済の普及で金融犯罪や不正行為が急増、被害を防ぐために必要なものは

eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。

製品資料 Splunk Services Japan合同会社

金融犯罪を未然に防止、システムが複雑化する中で取るべき対策とその実装方法

金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。

製品資料 グーグル合同会社

ゼロトラストセキュリティのハードルを下げる、“ブラウザ”ベースという視点

クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ郢晢スゥ郢晢スウ郢ァ�ュ郢晢スウ郢ァ�ー

2025/04/16 UPDATE

  1. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「隰セ�サ隰ヲ�ス�ス遯カ諛キ蠎カ騾カ蟯ゥツ€譏エ窶イ30�ス�ス�ク蟶卍€ツ€驕橸スシ邵コ蛛オ竊醍クコ荳岩�邵コ�」邵コ貅ス螳倬р�ェ髢��ス�ス髫ア�、驍ゑソス
  2. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「邵コ�ョ陷企�醍�闔会ス・闕ウ鄙ォ窶イ遯カ諛岩旺邵コ�ョ關難スオ陷茨ス・驍ィ迹夲スキ�ッ遯カ譏エ�定ャ費スェ騾包スィ遯カ陬慊€謌奇スヲ遏ゥ邃�クコ譁撰シ�ケァ蠕娯螺郢晢スェ郢ァ�ケ郢ァ�ッ邵コ�ィ邵コ�ッ�ス�ス
  3. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「鬮ョ�ス螻ョBlack Basta邵コ�ョ闔ィ螟奇スゥ�ア邵コ譴ァ�オ竏晢ソス邵イツ€隴丞シア�臥クコ荵昶�邵コ�ェ邵コ�」邵コ貊灘愛隰ヲ�スツ€�ス�ス遯カ諛域た鬮サ�ウ遯カ�ス
  4. 霎滂ス。隴∝生縲堤クイ蠕後◎郢ァ�ュ郢晢ス・郢晢スェ郢晢ソス縺�クコ�ョ郢晏干ホ溽クイ髦ェ�帝€カ�ョ隰厄ソス笳狗ケァ驫€ツ€諛翫′郢晢スウ郢晢スゥ郢ァ�、郢晢スウ陝�スヲ驗吝�縺慕ケ晢スシ郢ァ�ケ遯カ�ス5鬩包スク
  5. 雎悟カコ�サ蛟・�樒クコ貅假ス芽屁�ス邵コ�ョWeb郢ァ�オ郢ァ�、郢晏現縲定屐蛟カ�コ�コ隲��ス�ス�ア郢ァ雋橸ソス陷牙ク呻シ�邵コ�ヲ邵コ貅ェツ€陬慊€霈斐Ψ郢ァ�。郢晢スシ郢晄コ佩ヲ郢ァ�ー邵コ�ョ隰�唱蜩ィ邵コ�ィ邵コ�ッ
  6. 邵イ謔滂ソス陜趣スィ陋ケ謔カ��邵コ陂悠邵イ髦ェ窶イ200�ス�ス�「蜉アツ€ツ€騾墓サ難ソスAI邵コ�ァ雎鯉スセ雎シ�ォ邵コ蜷カ�狗ェカ諞コ陬ク郢晢ソス�ス郢晢スォ遯カ譏エ�ス陞ウ貊難ソス
  7. 邵イ逾 ̄N邵イ髦ェ窶イ陷奇スア鬮ッ�コ邵コ�ェ騾�ソス鄂ー邵コ�ィ邵イ蜈УNA邵イ蜥イ�ァ�サ髯ヲ蠕鯉ソス陋サ�ゥ霓、�ケ邵コ�ッ�ス貅伉€ツ€IAM邵コ�ョ闕ウ�サ髫補�繝ィ郢晢スャ郢晢スウ郢晏ウィ竏ェ邵コ�ィ郢ァ�ス
  8. 陝�クサ�ス雋ょ現竏ゥ邵コ�ョ邵イ驛。ASE邵イ蟠趣スヲ迢怜ウゥ邵コ蜉ア�ゑソス貅伉€ツ€郢晞亂繝」郢晏現ホ。郢晢スシ郢ァ�ッ郢ァ�サ郢ァ�ュ郢晢ス・郢晢スェ郢晢ソス縺�クコ�ョ遯カ�ス3陞滂スァ陷榊供鬮�ェカ�ス
  9. 陝キ�エ陷ソ�ス2000闕ウ�ス�ス驍丞、イ�シ貅伉€ツ€邵イ譬優邵コ�ィ郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ驍ゑス。騾�ソスツ€髦ェ縲定ア「�サ髴�亂笘�ケァ荵昶螺郢ァ竏夲ソス髫ア讎奇スョ螟奇スウ�ス�ス�シ邵コ�ッ
  10. 郢晢スゥ郢晢スウ郢ァ�オ郢晢ソス郢ァ�ヲ郢ァ�ァ郢ァ�「隰セ�サ隰ヲ�ス�定愾蜉ア��邵コ�ヲ郢ァ繧�€迹夲スコ�ォ闔会ス」鬩・莉」�定ャセ�ッ隰�シ費ス冗クコ�ェ邵コ荳岩�邵コ�」邵コ貅伉€髦ェ�ス邵コ�ッ邵コ�ェ邵コ諛環ー

2FAバイパスツールがもたらした二要素認証安全神話の終焉:SMSベースの認証は脆弱 - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

news040.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。