もはや安全ではない二要素認証（2FA）と生体認証：破られた二要素認証【前編】

パスワード認証を補完、強化、代替するものとして広まった二要素認証と生体認証。だが、今やそうした認証の回避策も現れ安全とは言えなくなった。

[Peter Ray Allison，Computer Weekly]

　パスワードは最も脆弱（ぜいじゃく）なユーザー認証方式の一つだ。パスワード侵害の最初期の例は、紀元前413年までさかのぼる。古代ギリシャ軍は、夜間戦闘で敵味方を識別するのに合言葉を使っていた。この合言葉がシュラクサイ（訳注）軍に知られてしまった。ギリシャ軍は合言葉を使って友軍のふりをしたシュラクサイ軍に大打撃を受けた。

訳注：シチリア島の都市シラクサ（イタリア語）のこと。シュラクサイは古代ギリシャ語。ペロポネソス戦争におけるアテナイ（アテネ）のシケリア（シチリア）遠征（紀元前415〜紀元前413年）失敗のエピソードと思われる。

関連記事

• 2FAバイパスツールがもたらした二要素認証安全神話の終焉
• 十分に進化した生体認証は“手に埋め込んだチップ”すら不要
• Windows 10の次期バージョンでパスワードレスサインインが実現
• 「人の声がその答えだ」──パスワード認証に代わる音声生体認証
• RPAに組み込むべきセキュリティ対策
• パスワードのない世界の条件は「FIDO＋アルファ」

　現在では、パスワードの最小要件として長さと複雑さが設定されるようになっている。だが、その要件が逆にセキュリティインフラの弱点となっている場合が多い。

　この弱点の克服にはパスワードデータベースが役に立つ。パスワードはデータベースに安全に保管され、ユーザーは覚えている必要がないため複雑なものを設定できる。ただしこの場合は、パスワードデータベースがエンドポイントセキュリティの単一障害点となる。

　そのため二要素認証（2FA）でアクセスポイントを管理する組織が増えている。2FAの実施によって異なる種類のセキュリティを実現できるからだ。

　2FAの大半は、端末の紛失、盗難、（マルウェアなどを通じた）不正使用によって侵害される。

　「二要素認証が認証するのは個人ではなく端末だ。業界では二要素認証を『本人近似（identity approximation）』と呼んでいる。『本人認証』ではない」と語るのは、ImageWare Systemsでシニアバイスプレジデント兼CTO（最高技術責任者）を務めるダビッド・ハーディング氏だ。

　「端末認証は、識別または認証する対象の人物がその端末を所有していることを前提とする。前提の根拠となるのは、その端末が既知のものだということだけだ」

最近の例

　最近の2FA侵害の例を幾つか紹介しよう。2019年8月、TwitterのCEOジャック・ドーシー氏のTwitterアカウントがハッキングされた。Twitterアカウントには2FAによる保護が施されていたが、複数の差別的なツイートが同氏のアカウントで投稿された。

　仮想通貨取引所Binanceは2FAシステムが侵害され、7000ビットコイン（日本円で44億円相当）が流出した。

　2FAの侵害は想像よりもかなり簡単だ。米国で特によく使われている最も簡単な方法は、攻撃者が標的の携帯電話番号を自身の携帯電話にひも付ける方法で、「SIMスワップ」と呼ばれている。2FAメッセージをその携帯電話で受け取ることで、アクセス権が攻撃者の手に渡る。

　2FAを侵害するマルウェアも確認されている。2020年2月、「Cerberus」というAndroidベースのマルウェアが「Google Authenticator」の2FAコードを盗み出していたことが分かった。他にも、「TrickBot」というマルウェアはSMSやプッシュ通知で受け取るバンキングアプリのワンタイムコードを窃取して2FAを回避することが知られている。

　ソーシャルエンジニアリングを使った2FAの回避方法もある。攻撃者が標的の取引先銀行を装って電話をかけ、バンキングプロフィールへのアクセス試行の応答として直前に送信されたセキュアコードを引き合いに出して「本人確認をする」ことを求める手口だ。

　「このような手口の多くは、技術スキルを必要としない。それが本当に怖い。金融業界には古くから『銀行口座を奪うのに技術スキルは要らない。人を引き付ける人柄さえあればよい』というジョークがある。2FAを回避する手口があると初めて分かったときに使われていたのはソーシャルエンジニアリングだった」（ハーディング氏）

解決策はあるか

　この問題と戦うには、2FAが端末中心から本人中心になる必要がある。それを実現する主な方法の一つが生体認証だ。2FAに生体認証を使うことで、本人がその端末を使っていることを確認できる。「確実に本人確認する唯一の方法は、認証対象に関する登録済みの既知の身体的／行動的特徴と照合する生体認証を使うことだ」とハーディング氏は話す。

　生体認証は既に生活の至る所で使われている。最も一般的な例としては指紋認証や「Face ID」、銀行に電話するときの声紋認証などがある。「対応可能な端末は既に人々の手元に行き渡っている。生体認証はiPhoneやAndroidのおかげで一般的になった。ただ、これらは利便性のために組み込まれた機能であり、生体認証を追加することを意図していたわけではないのは皮肉だ」（ハーディング氏）

　ただし生体認証も完全無欠ではない。最近の事例が示すように、生体認証が欺かれる、つまり正しい情報が提示されていると誤認識させることもある。「グミベアハッキング」という手口は、グミに写し取った指紋で指紋スキャナーを欺く。Facebookの写真を3Dレンダリング（https://www.wired.com/2016/08/hackers-trick-facial-recognition-logins-photos-facebook-thanks-zuck/）して顔認識を欺いた例も報告されている。

後編（Computer Weekly日本語版　6月17日号掲載予定）では、生体認証や2FAを回避する手段への対抗策を紹介する。関連記事

https://techtarget.itmedia.co.jp/tt/news/1902/27/news01.html

2FAバイパスツールがもたらした二要素認証安全神話の終焉

https://techtarget.itmedia.co.jp/tt/news/1708/08/news01.html

十分に進化した生体認証は“手に埋め込んだチップ”すら不要

https://techtarget.itmedia.co.jp/tt/news/1909/13/news01.html

Windows 10の次期バージョンでパスワードレスサインインが実現

https://techtarget.itmedia.co.jp/tt/news/1408/22/news01.html

「人の声がその答えだ」──パスワード認証に代わる音声生体認証

https://techtarget.itmedia.co.jp/tt/news/2002/04/news01.html

RPAに組み込むべきセキュリティ対策

https://techtarget.itmedia.co.jp/tt/news/1903/01/news01.html

パスワードのない世界の条件は「FIDO＋アルファ」