検索
特集/連載

2FAバイパスツールがもたらした二要素認証安全神話の終焉SMSベースの認証は脆弱

セキュリティ研究者が、SMSベースの二要素認証をバイパスするツールを公開。このツールによって二要素認証が必ずしも安全ではないことが明らかとなった。

Share
Tweet
LINE
Hatena

 あるセキュリティ研究者が「Gmail」などのサービスで使用される二要素(2FA:Two Factor Authentication)認証を回避する概念実証ツールを公開し、企業セキュリティにおいて最も攻撃を受けやすい脆弱(ぜいじゃく)性を明らかにした。

 ソーシャルエンジニアリングは深刻な脅威であり、軽視できないと語るのはポーランドのセキュリティ研究者ピオトル・ドゥズインスキー氏だ。

 同氏は自身のブログに次のように記している。「ペネトレーションテストの長年の経験から、顧客の内部ネットワークに正当な足掛かりを得る最も簡単かつ効果的な方法がソーシャルエンジニアリングであると分かっている」

 境界を保護しているセキュリティ防御をかいくぐるのにゼロデイ脆弱性は必要ない。セキュリティを侵害して機密データにアクセスするのに必要なのは「2〜3通の電子メールを送るか電話をかけるだけ」だと攻撃者は知っていると同氏は言う。

 この事実を示すため、同氏は正当なユーザーの資格情報を可能な限り効率良く盗み出すフィッシングキャンペーンを作成する目的で、Go言語を使って「Modlishka」というツールを開発した。

 このリバースプロキシツールは、ユーザーガイドラインと共にGitHubで入手できる。このツールを利用すれば、現在使われているほとんどの2FA認証手法を迂回(うかい)できる。ドゥズインスキー氏の話では、このツールが用いるのは「これまで長期にわたって」利用してきた技法だという。

 さらに同氏は、サイバー防御の効果をテストする企業のレッドチームだけでなく、効果的なフィッシングキャンペーンを作成したいペネトレーションテスト担当者の役に立つとして、このツールの開発と公開の正当性を主張している。

 このツールは、ユーザーと正当なサイトの間に感知できないフィッシングサイトを配置して、第二要素の認証コードなどの資格情報を入手する。ユーザーに詳細情報を入力させる偽サイトを作成する必要はない。

 ただし、このリバースプロキシ技法はユニバーサル二要素認証(U2F)を使用する2FA手法では機能しない。U2Fとは、暗号鍵と秘密鍵を使ってアカウントの保護やロック解除を行う物理認証端末の一種だ。

 Modlishkaが機能するのは、モバイルテキストによって送られるコードを利用する手法だけなので、2FAを破れるわけではない。だが、個人も企業もユーザー資格情報を盗むことを目的としたフィッシングやソーシャルエンジニアリングにさらに注意すべきだと同氏は言う。

 「ブラウザのアドレスバーに表示されたドメイン名が悪意のあるサイトではないかどうかを常に確認したり、別のURLのスプーフィングバグがまだあるのではないかと心配したりするのが嫌なら、U2Fへの切り替えを検討することだ」と同氏は言う。

 ただしこの技法は、URLバーのスプーフィングを許してしまうブラウザのバグやユーザーの認識不足を明らかにするだけでなく、最も価値の高い資産を敵に渡してしまう恐れがあることを示しているとドゥズインスキー氏は警告する。

 「最終的には、ユーザーがしっかり認識しなければ、最も洗練されたセキュリティ防御システムでさえ失敗する恐れがある。その逆も言える。つまりユーザーが認識していれば失敗はしない」(ドゥズインスキー氏)

 英国ESETのサイバーセキュリティ専門家ジェイク・ムーア氏は次のように警鐘を鳴らす。

 「ドゥズインスキー氏の概念実証のアイデアは、標的型攻撃に悪用される恐れがある。ただし攻撃を成功させるには、適切な犠牲者にフィッシング攻撃を仕掛ける必要がある。さらに、コードが期限切れになる前に対象のアカウントにログインするため、盗んだ資格情報と2FAコードをリアルタイムで監視する必要もある」

 「これは巨大なフィッシングキャンペーン向けの技法ではない。だがCEOが注意すべきであることは明らかだ。また、疑わしいリンクでユーザーが個人データを入力しなければと感じてしまう場合に備えて、フィッシング電子メールについてユーザー教育を施す必要性も示している」(ムーア氏)

 2FAセキュリティコードの時間制限を短くすれば、攻撃者はより短時間しか2FAセキュリティコードを使用できなくなるため、この種の攻撃の緩和策になるだろう。また、認証コードアプリは一般に入力時間枠がより短い。そのため、ドゥズインスキー氏のツールを悪用して収集したコードを攻撃者が利用する機会は制限されるだろうとムーア氏は言う。

 2018年8月、RedditはSMSベースの2FAの脆弱性を公開し、2FAを使用してもパスワードが漏えいすることを報告している。

 アカウントのセキュリティを向上させる手段として2FAが広く推奨されているが、SMSベースの2FAには欠陥があることが知られている。

 Redditは声明の中で、「SMSベース認証は当社が希望するセキュリティレベルに達しておらず、主な攻撃はSMSをインターセプトすることによって行われていることが分かった。そこでこの点を指摘して、トークンベースの2FAへの移行をユーザーに促している」と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る