NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年9月23日(水)予定)
2段階認証を突破しようとするフィッシングの手口
2019.12.05

今知っておきたいITセキュリティスキルワンランクアップ講座第18回

2段階認証を突破しようとするフィッシングの手口

著者 北河 拓士

 フィッシングによる不正送金被害が急増しています。特に最近の特徴として、SMS経由でフィッシング・サイトに誘導し、2段階認証が設定されているにも関わらず、それを突破しようとする巧妙な手口が増加していることが報告されています。

 フィッシング全般の対策については前々回の記事で取り上げましたが、今回はこの2段階認証を突破しようとするフィッシングについてさらに詳しく解説してみます。

 

2段階認証とは?

 2段階認証とは、ログイン時にユーザーIDとパスワードでの認証に加えて、1回限り有効な認証コード(ワンタイムパスワード、セキュリティコードなどとも呼ばれる)の入力などを追加することによりセキュリティを高める仕組みのことです。

 2段階認証でもっとも一般的な方式は、あらかじめ登録した電話番号に認証コードをSMS(ショートメッセージ)で送信する方式です。

 SMSでの2段階認証の具体例を見てみましょう。

 

2段階認証の実例

 下記の図はAmazon.co.jp での2段階認証の例です。ログイン画面でID・パスワードを入力し、これらが正しければ認証コード(ワンタイムパスワード)を入力する画面に遷移します(図1)。

 それと同時に、予め登録してある電話番号にSMSで認証コードが送信されます(図2)。利用者がこれを2段階認証の画面に入力することで、ログインが成功します。

 流出したパスワードやフィッシングで入手したパスワードでログインされた場合でも、2段階認証が有効になっていれば、登録された電話番号の端末が攻撃者の手元にはないため、攻撃者はSMSで認証コードを受け取ることがでません。これにより不正ログインを防ぐことができます。

 しかし、最近ではこのような2段階認証を突破しようとする攻撃手法が見られるようになってきました。

 

2段階認証を突破しようとする攻撃手法

 SMSでの2段階認証を突破しようとする攻撃手法は複数あり、海外では、携帯電話事業者のカスタマーサポートを騙して、電話番号自体を攻撃者のSIMカードに移転することでSMSを受信する「SIMスワップ」と呼ばれる攻撃や、電話網制御のプロトコル(SS7)の脆弱性を利用してSMSを横取りする攻撃による被害などが報告されています。

 しかし、日本国内では… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

関連キーワード

SHARE

関連記事

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決第1回

“届いてから最短10分”でテレワークを始める方法がある

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?