NTTコミュニケーションズ

Bizコンパス

2段階認証を突破しようとするフィッシングの手口
2019.12.05

今知っておきたいITセキュリティスキルワンランクアップ講座第18回

2段階認証を突破しようとするフィッシングの手口

著者 北河 拓士

 フィッシングによる不正送金被害が急増しています。特に最近の特徴として、SMS経由でフィッシング・サイトに誘導し、2段階認証が設定されているにも関わらず、それを突破しようとする巧妙な手口が増加していることが報告されています。

 フィッシング全般の対策については前々回の記事で取り上げましたが、今回はこの2段階認証を突破しようとするフィッシングについてさらに詳しく解説してみます。

 

2段階認証とは?

 2段階認証とは、ログイン時にユーザーIDとパスワードでの認証に加えて、1回限り有効な認証コード(ワンタイムパスワード、セキュリティコードなどとも呼ばれる)の入力などを追加することによりセキュリティを高める仕組みのことです。

 2段階認証でもっとも一般的な方式は、あらかじめ登録した電話番号に認証コードをSMS(ショートメッセージ)で送信する方式です。

 SMSでの2段階認証の具体例を見てみましょう。

 

2段階認証の実例

 下記の図はAmazon.co.jp での2段階認証の例です。ログイン画面でID・パスワードを入力し、これらが正しければ認証コード(ワンタイムパスワード)を入力する画面に遷移します(図1)。

 それと同時に、予め登録してある電話番号にSMSで認証コードが送信されます(図2)。利用者がこれを2段階認証の画面に入力することで、ログインが成功します。

 流出したパスワードやフィッシングで入手したパスワードでログインされた場合でも、2段階認証が有効になっていれば、登録された電話番号の端末が攻撃者の手元にはないため、攻撃者はSMSで認証コードを受け取ることがでません。これにより不正ログインを防ぐことができます。

 しかし、最近ではこのような2段階認証を突破しようとする攻撃手法が見られるようになってきました。

 

2段階認証を突破しようとする攻撃手法

 SMSでの2段階認証を突破しようとする攻撃手法は複数あり、海外では、携帯電話事業者のカスタマーサポートを騙して、電話番号自体を攻撃者のSIMカードに移転することでSMSを受信する「SIMスワップ」と呼ばれる攻撃や、電話網制御のプロトコル(SS7)の脆弱性を利用してSMSを横取りする攻撃による被害などが報告されています。

 しかし、日本国内では… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

関連キーワード

SHARE

関連記事

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

2020.11.18

ニューノーマル時代のネットワーク技術革新第3回

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

ニューノーマル時代に必要なサイバーセキュリティとは?

2020.11.06

ニューノーマル時代にビジネスはどう変わるのか第11回

ニューノーマル時代に必要なサイバーセキュリティとは?

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか