Bizコンパス

2段階認証を突破しようとするフィッシングの手口
2019.12.05

今知っておきたいITセキュリティスキルワンランクアップ講座第18回

2段階認証を突破しようとするフィッシングの手口

著者 北河 拓士

 フィッシングによる不正送金被害が急増しています。特に最近の特徴として、SMS経由でフィッシング・サイトに誘導し、2段階認証が設定されているにも関わらず、それを突破しようとする巧妙な手口が増加していることが報告されています。

 フィッシング全般の対策については前々回の記事で取り上げましたが、今回はこの2段階認証を突破しようとするフィッシングについてさらに詳しく解説してみます。

 

2段階認証とは?

 2段階認証とは、ログイン時にユーザーIDとパスワードでの認証に加えて、1回限り有効な認証コード(ワンタイムパスワード、セキュリティコードなどとも呼ばれる)の入力などを追加することによりセキュリティを高める仕組みのことです。

 2段階認証でもっとも一般的な方式は、あらかじめ登録した電話番号に認証コードをSMS(ショートメッセージ)で送信する方式です。

 SMSでの2段階認証の具体例を見てみましょう。

 

2段階認証の実例

 下記の図はAmazon.co.jp での2段階認証の例です。ログイン画面でID・パスワードを入力し、これらが正しければ認証コード(ワンタイムパスワード)を入力する画面に遷移します(図1)。

 それと同時に、予め登録してある電話番号にSMSで認証コードが送信されます(図2)。利用者がこれを2段階認証の画面に入力することで、ログインが成功します。

 流出したパスワードやフィッシングで入手したパスワードでログインされた場合でも、2段階認証が有効になっていれば、登録された電話番号の端末が攻撃者の手元にはないため、攻撃者はSMSで認証コードを受け取ることがでません。これにより不正ログインを防ぐことができます。

 しかし、最近ではこのような2段階認証を突破しようとする攻撃手法が見られるようになってきました。

 

2段階認証を突破しようとする攻撃手法

 SMSでの2段階認証を突破しようとする攻撃手法は複数あり、海外では、携帯電話事業者のカスタマーサポートを騙して、電話番号自体を攻撃者のSIMカードに移転することでSMSを受信する「SIMスワップ」と呼ばれる攻撃や、電話網制御のプロトコル(SS7)の脆弱性を利用してSMSを横取りする攻撃による被害などが報告されています。

 しかし、日本国内では… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

関連キーワード

SHARE

関連記事

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DNS通信を暗号化する「DNS over HTTPS」とその課題

2019.11.13

今知っておきたいITセキュリティスキルワンランクアップ講座第17回

DNS通信を暗号化する「DNS over HTTPS」とその課題

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

キャタラーはどのようにしてマルチクラウドの課題を解決したのか

2019.10.25

ビジネススピードを加速するIT基盤第22回

キャタラーはどのようにしてマルチクラウドの課題を解決したのか

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

巧妙化する最近のフィッシングの傾向と効果的な対策

2019.10.09

今知っておきたいITセキュリティスキルワンランクアップ講座第16回

巧妙化する最近のフィッシングの傾向と効果的な対策

「テレワークで働き方改革」が、情報流出リスクをより高めるワケ

2019.09.29

失敗する働き方改革、成功する働き方改革第4回

「テレワークで働き方改革」が、情報流出リスクをより高めるワケ