二要素認証さえも破られるとは。「中間者攻撃」の手口と対策 |

二要素認証（2FA）は、アカウントのセキュリティを強化するための優れた方法です。

しかし、その追加のセキュリティ層があっても、悪意のある攻撃者は侵入方法を見つけています。いわゆる「中間者攻撃（adversary-in-the-middle attack）」は、より弱い認証方法を悪用してアカウントにアクセスします。

あなたの二要素認証（2FA）や多要素認証（MFA）が弱い可能性もありますが、幸いにも、それに対処する方法があります。

多要素認証のしくみ

MFA（多要素認証）は、アカウントやシステムにアクセスする際に、ユーザーの本人確認のために2つ以上の確認手段を使用します。

これは、ユーザー名とパスワードの組み合わせだけに頼るよりも安全。なぜなら、多くのパスワードは簡単に破られたり、ダークウェブに流出していたりするからです。

パスワードは単純で、同じものを使い回していることが多く、ひとたびパスワードが漏れれば、複数のアカウントへの侵入に使われる可能性があります。だからこそ、すべてのアカウントに対して強力でユニークなパスワードを使うことがとても重要です。

MFAの場合、必要なものはパスワードだけではありません。ログインを完了するには、ユーザーは追加の証拠を少なくとも1つ使って本人確認を行う必要があります。

これは、知識要素（PINコードなど）、所有要素（認証アプリからのコードなど）、または生体要素（指紋など）であることが理想です。

なお、2FAとMFAという言葉はしばしば同じように使われますが、必ずしも同じ意味ではありません。

2FAは、パスワードとセキュリティ質問またはSMSコードのように、2つの要素でログインを確認するものです。2FAでは、両方の要素が「知識要素」（パスワードとPINなど）の場合もあります。

MFAは少なくとも2つの異なる要素を必要とし、それらは独立していなければなりません。たとえば、パスワードという知識要素と、生体認証やセキュリティキー、1回限りのパスワードのようなセキュアな認証手段を組み合わせる必要があります。

一般的に、必要な認証要素が多ければ多いほど、アカウントのセキュリティは高くなります。しかし、すべての要素が同じデバイスに存在していると、そのデバイスがハッキングされたり、紛失したり、盗まれたりした場合にセキュリティが危険にさらされます。

それでも突破される可能性がある

アカウントにMFAを設定してあると安心するかもしれませんが、MFAの中にはユーザー名やパスワードと同じくらい簡単に突破される方法もあります。

Ars Technicaの報道によると、知識要素や所有要素の一部は、フィッシング攻撃に対して脆弱です。

「中間者攻撃（adversary-in-the-middle）」と呼ばれる攻撃は、SMSやメールで送られてくる認証コード、または認証アプリによる時間制限付きの一回限りのパスワードなどを標的とし、ユーザーが無意識のうちに提供した情報を使ってアカウントにアクセスします。

この攻撃の仕組みは次のようなものです。

中間者攻撃（adversary-in-the-middle）の手口

攻撃者は、「あなたのGoogleアカウントが侵害されました。すぐにログインしてロックをかけてください」といった内容のメッセージを送り、リンクを貼り付けます。

そのリンクや、リンク先のページは本物に見えますが、実際にはプロキシサーバーに接続されたフィッシングリンクです。あなたがそのページに認証情報を入力すると、その情報は実際のGoogleサイトに転送され、正規のMFA要求が発動されます（あなたがMFAを設定していれば、これに違和感はありません）。

しかし、フィッシングサイト上で認証コードを入力したり、プッシュ通知を承認したりすると、それが攻撃者に渡され、アカウントへのアクセスを許してしまうのです。

「中間者攻撃」は、オンラインフォーラムで出回っている「フィッシング・アズ・ア・サービス（phishing-as-a-service）」のツールキットのおかげで、より簡単に実行可能になってしまっています。

MFAセキュリティを最大限に高める方法

MFAを最大限に活用するには、SMSコードやプッシュ通知のような要素から、よりフィッシングに強い認証方法に切り替えることを検討してください。

もっとも優れた選択肢は、WebAuthn認証（生体認証やパスキー）に基づいたMFAです。

これらはデバイスのハードウェアや物理的なセキュリティキー（Yubikeyなど）に保存されます。認証は本物のURL上で、かつデバイス上またはその近くでしか機能しないため、中間者攻撃はほぼ不可能になります。

MFAの方法を切り替えることに加えて、通常のフィッシングの警告サインにも注意を払いましょう。

多くのフィッシング攻撃と同様に、MFAを狙った攻撃も、アカウントが危険にさらされているという不安や、今すぐ対応しなければならないという焦りに乗じてユーザーを誘導します。

知らない送信者からのメッセージ内のリンクは決してクリックしないこと、そしてセキュリティ上の問題があるとされる通知を受け取った場合も、まずはその正当性を確認するようにしましょう。

Google アカウントの「絶対チェックしておいたほうがいい」セキュリティ＆プライバシー設定9つ |

今すぐ確認を！Androidの最新セキュリティアップデートで「46件の脆弱性」を修正 |

Source: cybernews(1, 2), Nordlayer, Ars Technica, yubico, FIDO