セキュリティ研究者が、SMSベースの二要素認証をバイパスするツールを公開。このツールによって二要素認証が必ずしも安全ではないことが明らかとなった。
あるセキュリティ研究者が「Gmail」などのサービスで使用される二要素(2FA:Two Factor Authentication)認証を回避する概念実証ツールを公開し、企業セキュリティにおいて最も攻撃を受けやすい脆弱(ぜいじゃく)性を明らかにした。
ソーシャルエンジニアリングは深刻な脅威であり、軽視できないと語るのはポーランドのセキュリティ研究者ピオトル・ドゥズインスキー氏だ。
同氏は自身のブログに次のように記している。「ペネトレーションテストの長年の経験から、顧客の内部ネットワークに正当な足掛かりを得る最も簡単かつ効果的な方法がソーシャルエンジニアリングであると分かっている」
境界を保護しているセキュリティ防御をかいくぐるのにゼロデイ脆弱性は必要ない。セキュリティを侵害して機密データにアクセスするのに必要なのは「2~3通の電子メールを送るか電話をかけるだけ」だと攻撃者は知っていると同氏は言う。
この事実を示すため、同氏は正当なユーザーの資格情報を可能な限り効率良く盗み出すフィッシングキャンペーンを作成する目的で、Go言語を使って「Modlishka」というツールを開発した。
このリバースプロキシツールは、ユーザーガイドラインと共にGitHubで入手できる。このツールを利用すれば、現在使われているほとんどの2FA認証手法を迂回(うかい)できる。ドゥズインスキー氏の話では、このツールが用いるのは「これまで長期にわたって」利用してきた技法だという。
さらに同氏は、サイバー防御の効果をテストする企業のレッドチームだけでなく、効果的なフィッシングキャンペーンを作成したいペネトレーションテスト担当者の役に立つとして、このツールの開発と公開の正当性を主張している。
このツールは、ユーザーと正当なサイトの間に感知できないフィッシングサイトを配置して、第二要素の認証コードなどの資格情報を入手する。ユーザーに詳細情報を入力させる偽サイトを作成する必要はない。
ただし、このリバースプロキシ技法はユニバーサル二要素認証(U2F)を使用する2FA手法では機能しない。U2Fとは、暗号鍵と秘密鍵を使ってアカウントの保護やロック解除を行う物理認証端末の一種だ。
Modlishkaが機能するのは、モバイルテキストによって送られるコードを利用する手法だけなので、2FAを破れるわけではない。だが、個人も企業もユーザー資格情報を盗むことを目的としたフィッシングやソーシャルエンジニアリングにさらに注意すべきだと同氏は言う。
「ブラウザのアドレスバーに表示されたドメイン名が悪意のあるサイトではないかどうかを常に確認したり、別のURLのスプーフィングバグがまだあるのではないかと心配したりするのが嫌なら、U2Fへの切り替えを検討することだ」と同氏は言う。
ただしこの技法は、URLバーのスプーフィングを許してしまうブラウザのバグやユーザーの認識不足を明らかにするだけでなく、最も価値の高い資産を敵に渡してしまう恐れがあることを示しているとドゥズインスキー氏は警告する。
「最終的には、ユーザーがしっかり認識しなければ、最も洗練されたセキュリティ防御システムでさえ失敗する恐れがある。その逆も言える。つまりユーザーが認識していれば失敗はしない」(ドゥズインスキー氏)
英国ESETのサイバーセキュリティ専門家ジェイク・ムーア氏は次のように警鐘を鳴らす。
「ドゥズインスキー氏の概念実証のアイデアは、標的型攻撃に悪用される恐れがある。ただし攻撃を成功させるには、適切な犠牲者にフィッシング攻撃を仕掛ける必要がある。さらに、コードが期限切れになる前に対象のアカウントにログインするため、盗んだ資格情報と2FAコードをリアルタイムで監視する必要もある」
「これは巨大なフィッシングキャンペーン向けの技法ではない。だがCEOが注意すべきであることは明らかだ。また、疑わしいリンクでユーザーが個人データを入力しなければと感じてしまう場合に備えて、フィッシング電子メールについてユーザー教育を施す必要性も示している」(ムーア氏)
2FAセキュリティコードの時間制限を短くすれば、攻撃者はより短時間しか2FAセキュリティコードを使用できなくなるため、この種の攻撃の緩和策になるだろう。また、認証コードアプリは一般に入力時間枠がより短い。そのため、ドゥズインスキー氏のツールを悪用して収集したコードを攻撃者が利用する機会は制限されるだろうとムーア氏は言う。
2018年8月、RedditはSMSベースの2FAの脆弱性を公開し、2FAを使用してもパスワードが漏えいすることを報告している。
アカウントのセキュリティを向上させる手段として2FAが広く推奨されているが、SMSベースの2FAには欠陥があることが知られている。
Redditは声明の中で、「SMSベース認証は当社が希望するセキュリティレベルに達しておらず、主な攻撃はSMSをインターセプトすることによって行われていることが分かった。そこでこの点を指摘して、トークンベースの2FAへの移行をユーザーに促している」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。