多要素認証すり抜け攻撃「リアルタイムフィッシング」の手口 対策はパスキー？：リアルタイムフィッシングの傾向と対策

フィッシング対策として有効だとみられていた、多要素認証をも突破する「リアルタイムフィッシング」。その驚異の手口とは。有効な対策として「パスキー認証」に期待が集まる理由と、その仕組みや導入方法とは。

[山根厚介，雨輝ITラボ（リーフレイン）]

　フィッシング被害が深刻化の一途をたどっている。業界団体のフィッシング対策協議会の調査によると、2024年のフィッシング報告件数は約172万件と、2023年（約120万件）の約1.44倍に上った。フィッシング対策に有効な手段として、複数の認証要素を組み合わせる「多要素認証」がある。従来のフィッシングサイトがIDとパスワードによる認証（パスワード認証）を想定していることから、それ以外の認証要素を組み合わせることで、実害を防ぐことができる――という考え方に基づく。

　多要素認証はフィッシング対策として有効ではあるものの、全てのフィッシング攻撃に対して同等の防御力を発揮するわけではない。例えば「リアルタイムフィッシング」というフィッシング攻撃は、多要素認証の一部を突破できることが明らかになっている。

フィッシングによって何らかの被害が発生すれば、顧客や取引先、株主などから責任を問われる可能性がある。そのため多要素認証を導入していたとしても、あらためてリアルタイムフィッシングなどの新たな攻撃手法を踏まえて、適切なフィッシング対策を採用することが重要だ。

　パスワード認証だけではなく、多要素認証による防御にも限界が露呈する中、セキュリティ強化の手段として浮上したのが「パスキー」認証だ。パスキー認証は、パスワードを使わない認証方式である「パスワードレス認証」の一種であり、フィッシング対策の手段としての効果を期待する声がある。

　本稿は、リアルタイムフィッシングの脅威を整理した上で、その有効な対策となり得るパスキー認証の仕組み、そして導入しやすいパスキー認証の具体的な手段を紹介する。

「リアルタイムフィッシング」脅威の手口

併せて読みたいお薦め記事

「パスキー」で変わる認証

• パスワードはもう要らない？　「パスキー」の安全だけじゃない意外な利点とは
• パスワード不要の認証「パスキー」は何がすごいのか？　Googleエンジニアが語る

　従来は、多要素認証があればフィッシング攻撃の被害を防ぐことができると考えられていた。にもかかわらずリアルタイムフィッシングは、多要素認証の一部を突破することが明らかになっている。

そもそも多要素認証とは

　多要素認証とは、ID・パスワードといった「知識要素」だけでなく、スマートフォンやトークンなどの「所持要素」、指紋や静脈などの「生体要素」といった、複数の要素を組み合わせて認証する方法だ。ID・パスワード（知識要素）の入力後に、SMS（ショートメッセージサービス）で手元のスマートフォン（所持要素）に届く認証コードを入力して認証を完了する――。コンシューマーサービスでも普及しているこうした認証方式は、多要素認証の一例だ。

　従来のフィッシング攻撃では、攻撃者はID・パスワードを窃取しても、多要素認証による追加の認証コードを入力できないため、基本的にはログインは成立しなかった。そのため多要素認証を使えば、フィッシング攻撃からの効果的な防御が可能だと考えられていた。

リアルタイムフィッシングの攻撃プロセス

　リアルタイムフィッシングは、攻撃者がリアルタイムで行動を起こす点が特徴だ。具体的には以下のようなプロセスを取る。

1. 被害者がフィッシングサイトにアクセスしてID・パスワードを入力する
2. 入力されたID・パスワードを、攻撃者が即座に正規サイトへ入力する
3. 正規サイトが被害者に多要素認証の認証コードを発行・送信する
4. フィッシングサイトが表示する偽の認証コード入力画面に、被害者が正規サイトから受け取った認証コードを入力する
5. 入力された認証コードを、攻撃者が正規サイトへ入力し、正規サイトへの侵入に成功する

　リアルタイムフィッシングでは、上記のように攻撃者は多要素認証の認証コードさえも盗み取ってしまう。

リアルタイムフィッシング対策として期待の「パスキー認証」とは

　リアルタイムフィッシングの被害を防ぐ有効な手段だと考えられているのが、パスキー認証だ。パスキー認証は、標準化団体のFIDO AllianceとW3C（World Wide Web Consortium）が策定した認証の標準規格「FIDO2」に基づく。

　パスキー認証は、公開鍵暗号技術を基盤とする。公開鍵暗号技術は、ユーザーのデバイスに保存する秘密鍵で署名し、サービス提供者が保持する公開鍵でその署名を検証する仕組みだ。秘密鍵と公開鍵が対になっていることで署名の正当性を確認でき、認証が成立する。

　秘密鍵をスマートフォンで保存している場合の、パスキー認証の仕組みは以下の通りだ。

1. ユーザーが、サービスへのログインを要求する
2. サービス提供者は、一度限りのランダム値（チャレンジ）など、認証に必要なデータをユーザーのスマートフォンへ送信する
3. ユーザーのスマートフォンにある認証アプリケーションが、本人確認を要求する
4. ユーザーが、生体認証やPIN（暗証番号）認証で本人確認を実行する
5. 認証アプリケーションは、チャレンジなどの認証に必要なデータに対して、スマートフォンに保存された秘密鍵で署名し、その署名と付随データをサービスに返信する
6. サービス提供者は、登録済みの公開鍵と受信したデータを用いて署名を検証し、問題がなければログインを許可する

　パスキー認証はID・パスワードを認証の中心に置かず、秘密鍵はユーザーのデバイスから外に出ない。サービス提供者は公開鍵のみを保持し、秘密鍵がなければ認証を成立させることができない。

　認証アプリケーションがサービスに返送する署名と付随データは、認証要求の発生元となるWebサイトの情報（発生元ドメイン）を含む。ユーザーがフィッシングサイトで正規サイトと同じようにログイン操作をしても発生元情報が一致せず、その署名は正規サイトの認証には利用できない。秘密鍵を保存するデバイスそのものを攻撃者が入手しない限り、アカウントの乗っ取りは極めて困難だ。

パスキー認証を無理なく導入するには

　パスキー認証の有効性が分かったとしても、中小企業など専任のIT担当者がいない企業にとっては、導入はハードルが高いのではないか――。こうした不安を払拭すべく、容易にパスキー認証を導入できるサービスが幾つか現れている。

　NTTテクノクロスの「PASUTTO」は、スクリプトの埋め込みやAPI（アプリケーションプログラミングインタフェース）連携といった最小限の修正で、既存のWebサイトやアプリケーションにパスキー認証を導入できる。amiProの同名サービスは、JavaScriptによるフロントエンドの改修のみでパスキー認証を導入可能だ。