2019年02月27日 08時00分 公開
特集/連載

SMSベースの認証は脆弱2FAバイパスツールがもたらした二要素認証安全神話の終焉

セキュリティ研究者が、SMSベースの二要素認証をバイパスするツールを公開。このツールによって二要素認証が必ずしも安全ではないことが明らかとなった。

[Warwick Ashford,Computer Weekly]

 あるセキュリティ研究者が「Gmail」などのサービスで使用される二要素(2FA:Two Factor Authentication)認証を回避する概念実証ツールを公開し、企業セキュリティにおいて最も攻撃を受けやすい脆弱(ぜいじゃく)性を明らかにした。

Computer Weekly日本語版 2月20日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2月20日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 ソーシャルエンジニアリングは深刻な脅威であり、軽視できないと語るのはポーランドのセキュリティ研究者ピオトル・ドゥズインスキー氏だ。

 同氏は自身のブログに次のように記している。「ペネトレーションテストの長年の経験から、顧客の内部ネットワークに正当な足掛かりを得る最も簡単かつ効果的な方法がソーシャルエンジニアリングであると分かっている」

 境界を保護しているセキュリティ防御をかいくぐるのにゼロデイ脆弱性は必要ない。セキュリティを侵害して機密データにアクセスするのに必要なのは「2〜3通の電子メールを送るか電話をかけるだけ」だと攻撃者は知っていると同氏は言う。

 この事実を示すため、同氏は正当なユーザーの資格情報を可能な限り効率良く盗み出すフィッシングキャンペーンを作成する目的で、Go言語を使って「Modlishka」というツールを開発した。

ITmedia マーケティング新着記事

news113.jpg

新型コロナウイルス感染拡大に関する不安 「経済への打撃」が「多くの死者が出ること」を上回る
McCann Worldgroupが世界14カ国で実施した意識調査の結果、政府の対応体制が「整っている...

news145.jpg

「70歳までの就労意識」をテーマとした調査を実施――富国生命調査
長期的に働く上でのリスクトップ3は「病気」「就業不能状態」「入院」。