全2557文字
正規のユーザーになりすました不正アクセスが後を絶たない。攻撃者はフィッシング詐欺▼などでユーザーのIDとパスワードを盗み、それを使ってクラウドサービスや企業ネットワークなどにログインする。
このような不正アクセスを防ぐのに有効な対策の1つが「多要素認証」だ。多要素認証とは、ユーザーの認証時に複数の情報(認証要素)を使う方法である。
認証要素は大きく3種類に分けられる(図1)。ユーザーだけが知りうる「知識情報」、ユーザーだけが持つ「所持情報」、ユーザーの身体的特徴である「生体情報」である。
図1●ユーザー認証に使う情報は3種類
「知識情報」「所持情報」「生体情報」のうち、異なる種類の情報を複数組み合わせて認証する方式を多要素認証と呼ぶ。認証要素が1種類の場合よりもセキュリティー強度が高まる。
[画像のクリックで拡大表示]
代表的な多要素認証の1つが、パスワードとスマートフォンの認証アプリを使う方法だ。多くの企業がセキュリティー対策の1つとして導入している。
この方法では、パスワード(知識情報)を知っていて、なおかつあらかじめ登録されたスマホ(所持情報)を持っていないとログインできない。パスワードだけの場合と比べてセキュリティーレベルは飛躍的に向上する。
だが万全ではない。上記のような多要素認証を破る手口が数年前から確認されており、現在も使われている。「プロンプト爆撃(prompt bombing)」などと呼ばれる。
最近では、「Lapsus$」と名乗るサイバー犯罪者集団がこの手口を使っていることをSNS▼などで広言している。Lapsus$は2022年2~3月にかけて大手IT企業に次々と侵入したことで知られる。
またセキュリティー企業の米マンディアントによると、2020年12月に米ソーラーウインズのネットワーク管理ソフトを悪用して不正アクセスを繰り返していたサイバー犯罪者集団も、この手口を使っていたとされる。
一体、どんな手口なのだろうか。
