今後の2段階認証の方向



2段階認証でも、画面エミュレートされていたら意味がないことは、先日のニュース解説で説明されていた。

デバイス認証を入れれば防ぐことができるが、デバイスの更新を手順に入れてしまえばそれまでだ。頻繁にログインしている人でなければ異常に気付かないないだろう。デバイス認証はハード+ブラウザ+IPで見ているのでデバイス変更は頻繁に発生して実質意味がない。

エミュレータによる乗っ取りを防ぐには、2デバイスの相互リンクの確立を要件とすること。今は、単純な確認番号を入力させているだけで手抜き同然だ。

ブラウザによるログインを認めるシステム設計も緩さの要因。

だんだん面倒になる。もっとシンプルで決定的な手法は無いものか。生体を取り込めば別のリスクが出てきそうで気持ちが悪い。

シングルデバイス2アプリでもアプリ間の相互監視機能が働けば上手く行きそうだ。



https://finders.me/articles.php?id=1754

 Googleの認証システム突破を狙うAndroidマルウェアが出現。もはや2段階認証といえども安心はできない状況に!

Photo By Shutterstock

伊藤僑

Free-lance Writer / Editor

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。
Google Authenticatorを標的とするAndroidマルウェア

オランダを拠点とするサイバーセキュリティ企業ThreatFabrickの研究者は2月末、バンキング型トロイの木馬として知られるAndroidマルウェア「Cerberus」の亜種が、「Google Authenticator」で生成された2段階認証(2FA)コードを盗み出す機能を獲得したことを同社ブログで公表した。

Google Authenticatorとは、Googleが開発した2段階認証を行うためのセキュリティトークン(ワンタイムパスワード生成アプリ)だ。Googleの提供する2段階認証システムでは、従来のID、パスワードに加えて同アプリが生成したコードが必要になる。

新たに発見されたCerberusの亜種は、Androidデバイスに感染すると、ネットワークを介してコンピュータを遠隔操作する不正プログラム「RAT(Remote Administration Tool)」の機能を利用して、モバイルバンキングアプリの認証情報を盗み出すという。

具体的には、標的とするモバイルバンキング・アカウントがGoogle Authenticatorで保護されている場合、攻撃者はRAT機能を利用してユーザーのデバイスに接続。Google Authenticatorを遠隔操作してワンタイムパスワードを生成し、画面のスクリーンショットをC&Cサーバ(※)に送信する。

※C&C(Command & Control)サーバとは、攻撃者が乗っ取った(感染させた)コンピュータを制御したり命令を送るために設置したサーバのこと。

こうして取得したワンタイムパスワードを使用すれば、攻撃者はユーザーの契約するオンラインバンキングサービスにアクセスして不正な操作を行うことができるというわけだ。
もはや2段階認証といえども安心はできない状況に

実は、Cerberus亜種の事例は氷山の一角に過ぎない。ここ数年、2段階認証の突破を狙った攻撃が急増している。

多くの金融機関やオンラインショップ、SNSなどが2段階認証の導入を推進していることからも分かるように、高い安全性が求められるサービス、つまり価値ある情報を扱うサービスにとって、いまや2段階認証は必須となっている。そこで、価値ある金品や情報を盗みたい攻撃者たちによる、二段階認証を突破しようとする試みが増加しているのだ。

攻撃者が2段階認証を突破する手口として最も多用されているのが、偽サイトを利用したフィッシング詐欺だ。

その手口としては、例えば金融機関などになりすまして「何者かが不正にログインを試みた可能性がある」「お客様のアカウントにトラブルが発生した」「サイトをセキュリティ強化する必要がある」などと不安をあおるSMSやフィッシングメールを送付し、本物そっくりの偽サイトにユーザーを誘導してIDとパスワードを入力させる。

攻撃者は、正規サイトにそのIDとパスワードを入力。ユーザーにワンタイムパスワードの発行を促して、偽サイトに取得したワンタイムパスワードを入力させる。

こうしてユーザーを騙して獲得したワンタイムパスワードを使うことで、まんまと2段階認証を突破するというわけだ。

サイバーセキュリティ大手のトレンドマイクロによれば、このようなフィッシング詐欺による2段階認証突破に用いられると考えられるフィッシングサイトのドメイン数が2019年9月に急増しているという。




2段階認証突破のために開設されたと考えられるフィッシングサイトのドメイン数の推移(トレンドマイクロ調べ)

このような状況を受け、昨年10月には警視庁や日本サイバー犯罪対策センター、国内大手銀行などからも注意喚起がなされている。

もはや2段階認証を採用しているサイトだからといって、安心して利用できる状況ではないことを知っておくことが大切だ。

攻撃者の手口を知ることで、メールやSNSで送られてきたURLからはオンラインバンクなどへはアクセスしない、セキュリティソフトを導入するなどの防衛策をとろう。そして、各種のオンラインサービスは、より慎重に利用したい。



<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

人気の投稿:年間

人気の投稿