2020年06月03日 10時00分 公開
インフォメーション

二要素認証(2FA)も生体認証も安全ではないComputer Weekly日本語版

ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中!

[ITmedia]

破られた二要素認証

 二要素認証(2FA)でアクセスポイントを管理する組織が増えている。2FAの実施によって異なる種類のセキュリティを実現できるからだ。だが2FAの大半は、端末の紛失、盗難、(マルウェアなどを通じた)不正使用によって侵害される。

 「二要素認証が認証するのは個人ではなく端末だ。業界では二要素認証を『本人近似(identity approximation)』と呼んでいる。『本人認証』ではない」と語るのは、ImageWare Systemsでシニアバイスプレジデント兼CTO(最高技術責任者)を務めるダビッド・ハーディング氏だ。

 「端末認証は、識別または認証する対象の人物がその端末を所有していることを前提とする。前提の根拠となるのは、その端末が既知のものだということだけだ」

 2019年8月、TwitterのCEOジャック・ドーシー氏のTwitterアカウントがハッキングされた。Twitterアカウントには2FAによる保護が施されていたが、複数の差別的なツイートが同氏のアカウントで投稿された。仮想通貨取引所Binanceは2FAシステムが侵害され、7000ビットコイン(日本円で44億円相当)が流出した。

 2FAを侵害するマルウェアも確認されている。ソーシャルエンジニアリングを使った2FAの回避方法もある。

 この問題と戦うには、2FAが端末中心から本人中心になる必要がある。それはどういうことか。




続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。