二要素認証ってほんとに安全？

2021年12月13日 15:35

二段階認証ってほんとに安全？

企業向けのパスワードなしの認証ソリューションを提供しているSecret Double Octopusより、二要素認証に関係するリスクについて警告がありました。

最近ではアカウント乗っ取り防止のため、SMSやメールを利用した二要素認証が主流です。新規アカウントを作る際には別途送られてきたコードの入力を求められるようになりました。

しかし、これはセキュリティ強化における一時的な措置にすぎず、
この二要素認証ですら危険だと伝えているのです。

■二要素認証とは

異なる２つの認証方法（SMS認証など）を使って、なりすましを防ぐ機能です。「記憶・モノ・人体」の３つに分類された認証方法のうち２つを用います。

例えば、パスワードや秘密の質問は「記憶」に分類され、「モノ」にはスマホやUSBがあたります。「人体」に関しては顔認証や指紋が該当します。

トロイの木馬を利用してブラウザを乗っ取り、通信の窃取や改ざんを行う攻撃です。

この類でよく耳にするのは「フィッシングサイト」と呼ばれる偽のサイトを通じてアカウントやパスワードを入力させる方法ですが、MITB攻撃では偽のサイトを使わず、ユーザーが行っている通信そのものを乗っ取る攻撃です。

正規のWEBサイトを通じていることで、セキュリティをかいくぐることができます。

この仕組みを利用した、二段階認証で送信されたコードが窃取されたり、
振込先情報を改ざんされてしまったりの被害事例があります。

特に最近、メールによるウィルス感染が再流行する予兆があるとの報告もありますので、より一層注意していきましょう！