全3196文字
PR

 ネットバンキングや電子商取引(EC)サイト、メールサービスへの不正ログイン被害が増加の一途をたどっている。警察庁が2019年12月、ネットバンキングの不正送金被害が過去最多を更新したと発表した。

 不正ログインの攻撃手法としてよく知られるのが「リスト型攻撃」だ。攻撃者が別のサービスから流出したIDとパスワードを使って、不正ログインを試みる攻撃。ユーザーが同じIDとパスワードを使い回していると不正ログインされてしまう。

 これに対抗するため、IDとパスワードの組み合わせに加えて、スマートフォンにSMSで送る認証コードや、スマホアプリやトークンを使ったワンタイムパスワード(OTP)を認証に利用するサービスが増えている。

 ところが、そうした多要素認証を突破する不正ログイン被害が発生した。2019年12月以降、NTTデータやトレンドマイクロがフィッシングによって認証コードやOTPを詐取されると注意を呼びかけている。

 多要素認証のサービスまでフィッシングによって不正ログインされてしまうと、ユーザー側に対抗する手段があるのだろうか。

 多要素認証を狙うフィッシングの仕組みや、専門家に聞いた対策、筆者が実践している「チート」を紹介しよう。チートとは制作者が意図しない操作で想定外の結果を出す行為のこと。チートでフィッシング攻撃者の裏をかく。

複数の認証要素を使う認証

 多要素認証とは、「記憶」「所持」「生体」の3つの認証要素から、2つ以上を利用する認証方法を指す。ユーザーが覚えておくIDとパスワードの組み合わせは、記憶に当たる。

 所持は、ユーザーのスマホやサービス事業者が提供する乱数表やトークンを使う。前述の認証コードやOTPはこれに当たる。もう1つの生体は、ユーザーの指紋や虹彩を使う。

 多要素認証が大きくクローズアップされたのは、2017年に改訂された米国の国立標準技術研究所(NIST)のセキュリティー基準SP800-63で、多認証要素が推奨されたからだ。日本の中央省庁や公的機関の基準も、これに追随した。

 こうした影響もあり、多くのサービスが記憶ベースのIDとパスワードに加えて、別の認証要素を使うようになった。