2段階認証が突破されるのはあり得ない？セキュリティーの都市伝説を斬る

五十嵐俊輔、石坂勇三、岡野幸治、田代祥吾、服部雅幸

2023.03.30

全3859文字

Windowsに厳重パスワードをかければ破られない？

　Windowsのアカウントはパスワードで守られているが、ローカルアカウントの場合は安全とはほど遠い。OSの抜け穴を突いてパスワードを破る方法がいくつかあるからだ。具体的な手順は伏せるが、図1のような流れで他人が簡単にパスワードを変更できてしまう。

標準機能の抜け穴を悪用

図1 上記の流れで固定キー機能をコマンドプロンプトに置き換えると誰にでもパスワードを変更できてしまう

[画像のクリックで拡大表示]

　悪用するのは「固定キー」機能。「Shift」キーが押しにくい人向けのアクセシビリティ機能だ。インストールメディアからOSを起動し、固定キーの機能をコマンドプロンプトに置き換える。これでOS起動時にコマンドプロンプトを使ってパスワードを書き換えられる（図2）。つまり、こうしたノウハウにたけた相手ならパスワードは意味をなさないのだ。なお、Microsoftアカウントのパスワードは変更できない。

図2 図1（3）の後、Windowsのサインイン画面で「Shift」キーを5回連打すると、本来の固定キー機能ではなくコマンドプロンプトが管理者権限で起動（1）。「net user ユーザー名新しいパスワード」のコマンドでパスワードを変更できる（2）［注］

[画像のクリックで拡大表示]

［注］置き換えた固定キー機能は後で元に戻す必要がある

[画像のクリックで拡大表示]

2段階認証が突破されることはあり得ない？

　会員制ウェブサービスの多くは、普段と異なる端末から初めてログインすると、IDとパスワードのほかにスマホなどで追加の認証を要求する仕組みを取り入れている。これを一般に「2段階認証」と呼び、追加の認証方法には何種類かある（図1）。仮にIDとパスワードが流出しても、当該スマホなどを持っていない第三者はログインできない。

認証コードを盗まれたらおしまい

図1 2段階認証はIDとパスワードに加えて、スマホなどでの認証も求める仕組み。メールやSMSで届く認証コード、スマホアプリを使った認証、物理的なセキュリティキーなどの方法がある。フィッシング詐欺で盗まれる危険性があるのは認証コードだ

[画像のクリックで拡大表示]

　だが、2段階認証があるからといって油断はできない。メールやSMS（ショートメッセージ）で送られてくる認証コードはフィッシング詐欺で盗まれる危険があるからだ。本物そっくりの偽サイトを通じて、追加の認証コードまでだまし取る手口もある（図2）。不安なら認証コードではなく、スマホアプリなどで認証する方法に変更するとよい。