2019年02月27日 08時00分 公開
特集/連載

SMSベースの認証は脆弱2FAバイパスツールがもたらした二要素認証安全神話の終焉

セキュリティ研究者が、SMSベースの二要素認証をバイパスするツールを公開。このツールによって二要素認証が必ずしも安全ではないことが明らかとなった。

[Warwick Ashford,Computer Weekly]

 あるセキュリティ研究者が「Gmail」などのサービスで使用される二要素(2FA:Two Factor Authentication)認証を回避する概念実証ツールを公開し、企業セキュリティにおいて最も攻撃を受けやすい脆弱(ぜいじゃく)性を明らかにした。

Computer Weekly日本語版 2月20日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2月20日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 ソーシャルエンジニアリングは深刻な脅威であり、軽視できないと語るのはポーランドのセキュリティ研究者ピオトル・ドゥズインスキー氏だ。

 同氏は自身のブログに次のように記している。「ペネトレーションテストの長年の経験から、顧客の内部ネットワークに正当な足掛かりを得る最も簡単かつ効果的な方法がソーシャルエンジニアリングであると分かっている」

 境界を保護しているセキュリティ防御をかいくぐるのにゼロデイ脆弱性は必要ない。セキュリティを侵害して機密データにアクセスするのに必要なのは「2〜3通の電子メールを送るか電話をかけるだけ」だと攻撃者は知っていると同氏は言う。

 この事実を示すため、同氏は正当なユーザーの資格情報を可能な限り効率良く盗み出すフィッシングキャンペーンを作成する目的で、Go言語を使って「Modlishka」というツールを開発した。

ITmedia マーケティング新着記事

news107.jpg

卓球「Tリーグ」と「TikTok」のコラボレーションがお互いにもたらすメリットとは
認知拡大を課題とする卓球新リーグとファン層拡大を狙う大人気の動画SNS。パートナーシッ...

news020.jpg

CEO承継の課題、日本と世界の違いは?――PwC Strategy&調査
Strategy&は、世界の上場企業を対象に実施した、2018年におけるCEOの承継についての調査...

news028.jpg

みずほ銀行が「不正送金防止」メルマガ施策で申し込み率13倍に 社会課題解決型コンテンツの底力
社会課題解決を訴求するメルマガで、通常の13倍ものコンバージョンを獲得したみずほ銀行...