フィッシングによる不正送金被害が急増しています。特に最近の特徴として、SMS経由でフィッシング・サイトに誘導し、2段階認証が設定されているにも関わらず、それを突破しようとする巧妙な手口が増加していることが報告されています。
フィッシング全般の対策については前々回の記事で取り上げましたが、今回はこの2段階認証を突破しようとするフィッシングについてさらに詳しく解説してみます。
2段階認証とは?
2段階認証とは、ログイン時にユーザーIDとパスワードでの認証に加えて、1回限り有効な認証コード(ワンタイムパスワード、セキュリティコードなどとも呼ばれる)の入力などを追加することによりセキュリティを高める仕組みのことです。
2段階認証でもっとも一般的な方式は、あらかじめ登録した電話番号に認証コードをSMS(ショートメッセージ)で送信する方式です。
SMSでの2段階認証の具体例を見てみましょう。
2段階認証の実例
下記の図はAmazon.co.jp での2段階認証の例です。ログイン画面でID・パスワードを入力し、これらが正しければ認証コード(ワンタイムパスワード)を入力する画面に遷移します(図1)。
それと同時に、予め登録してある電話番号にSMSで認証コードが送信されます(図2)。利用者がこれを2段階認証の画面に入力することで、ログインが成功します。


流出したパスワードやフィッシングで入手したパスワードでログインされた場合でも、2段階認証が有効になっていれば、登録された電話番号の端末が攻撃者の手元にはないため、攻撃者はSMSで認証コードを受け取ることがでません。これにより不正ログインを防ぐことができます。
しかし、最近ではこのような2段階認証を突破しようとする攻撃手法が見られるようになってきました。
2段階認証を突破しようとする攻撃手法
SMSでの2段階認証を突破しようとする攻撃手法は複数あり、海外では、携帯電話事業者のカスタマーサポートを騙して、電話番号自体を攻撃者のSIMカードに移転することでSMSを受信する「SIMスワップ」と呼ばれる攻撃や、電話網制御のプロトコル(SS7)の脆弱性を利用してSMSを横取りする攻撃による被害などが報告されています。
しかし、日本国内では… 続きを読む