Bizコンパス

2段階認証を突破しようとするフィッシングの手口
2019.12.05

今知っておきたいITセキュリティスキルワンランクアップ講座第18回

2段階認証を突破しようとするフィッシングの手口

著者 北河 拓士

 フィッシングによる不正送金被害が急増しています。特に最近の特徴として、SMS経由でフィッシング・サイトに誘導し、2段階認証が設定されているにも関わらず、それを突破しようとする巧妙な手口が増加していることが報告されています。

 フィッシング全般の対策については前々回の記事で取り上げましたが、今回はこの2段階認証を突破しようとするフィッシングについてさらに詳しく解説してみます。

 

2段階認証とは?

 2段階認証とは、ログイン時にユーザーIDとパスワードでの認証に加えて、1回限り有効な認証コード(ワンタイムパスワード、セキュリティコードなどとも呼ばれる)の入力などを追加することによりセキュリティを高める仕組みのことです。

 2段階認証でもっとも一般的な方式は、あらかじめ登録した電話番号に認証コードをSMS(ショートメッセージ)で送信する方式です。

 SMSでの2段階認証の具体例を見てみましょう。

 

2段階認証の実例

 下記の図はAmazon.co.jp での2段階認証の例です。ログイン画面でID・パスワードを入力し、これらが正しければ認証コード(ワンタイムパスワード)を入力する画面に遷移します(図1)。

 それと同時に、予め登録してある電話番号にSMSで認証コードが送信されます(図2)。利用者がこれを2段階認証の画面に入力することで、ログインが成功します。

 流出したパスワードやフィッシングで入手したパスワードでログインされた場合でも、2段階認証が有効になっていれば、登録された電話番号の端末が攻撃者の手元にはないため、攻撃者はSMSで認証コードを受け取ることがでません。これにより不正ログインを防ぐことができます。

 しかし、最近ではこのような2段階認証を突破しようとする攻撃手法が見られるようになってきました。

 

2段階認証を突破しようとする攻撃手法

 SMSでの2段階認証を突破しようとする攻撃手法は複数あり、海外では、携帯電話事業者のカスタマーサポートを騙して、電話番号自体を攻撃者のSIMカードに移転することでSMSを受信する「SIMスワップ」と呼ばれる攻撃や、電話網制御のプロトコル(SS7)の脆弱性を利用してSMSを横取りする攻撃による被害などが報告されています。

 しかし、日本国内では… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事で紹介しているサービスについて

関連キーワード

SHARE

関連記事

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決

“届いてから最短10分”でテレワークを始める方法がある

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

不正なOffice文書によるマルウェア感染への対策

2020.01.21

今知っておきたいITセキュリティスキルワンランクアップ講座第19回

不正なOffice文書によるマルウェア感染への対策

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DNS通信を暗号化する「DNS over HTTPS」とその課題

2019.11.13

今知っておきたいITセキュリティスキルワンランクアップ講座第17回

DNS通信を暗号化する「DNS over HTTPS」とその課題