ハッカーが二要素認証を回避する6つの方法

ユーザー名とパスワードだけでアカウントを保護するのは賢明ではありません。どちらも簡単に盗まれたり、推測されたり、解読されたりする可能性があります。そのため、すべての重要なアクセスポイントには2要素認証（2FA）が推奨されています。オンラインバンキングでは長年にわたり必須となっています。

2FAでは、アカウント、ネットワーク、またはアプリケーションへのアクセスに2つの要素が使用されます。1つの要素は、以下の3つのカテゴリに分類されるセキュリティ機能です。

• 知識（パスワード、PIN）
• 所持品（スマートフォン、Fido2スティックなど）
• 生体認証（指紋、顔認証など）

2FAで優れた保護を実現するには、使用する2つの要素が異なるカテゴリから選択されている必要があります。2つ以上の要素を使用する場合は、多要素認証と呼ばれます。

こちらも興味深い: Amazonトライアングル詐欺:それが何なのか、どのように機能するのか、そして何をすべきか

2FAは非常に安全ですが、完全に安全というわけではありません。ハッカーがアカウントを乗っ取るために悪用できるトリックや抜け穴が存在します。

IDG

1. 中間者：フィッシングによる2FAの盗難

ユーザーとオンラインアカウント間の接続は、安全なTLS（Transport Layer Security）接続によって保護されています。この接続は、ハッカーが侵入できないように技術的な手順が設計されています。しかし、攻撃者は様々なトリックを用いてユーザーとアカウントの間に侵入することが可能です。これらは「中間者攻撃」と呼ばれ、様々な種類があります。

フィッシングページ： 2FAに対する最大の脅威の一つはフィッシング攻撃です。サイバー犯罪者は偽のウェブサイトを利用してユーザーを騙し、ログイン情報を入力させます。被害者は、正規の企業を装ったメール、SMS、またはWhatsAppメッセージを介して、これらのフィッシングサイトに誘導されることがよくあります。

単純なフィッシングページは、ユーザーのログインデータを「盗むだけ」です。中間者攻撃では、ウェブサイトは二要素認証のコードも傍受します。攻撃者はそのデータを使用して、直後に関連サービスにログインします。しかし、ワンタイムパスワードは通常数秒しか有効ではないため、これは時間的に非常に重要です。

この攻撃は、被害者が偽サイトにデータを入力してログインするまで攻撃者が準備を整えておく必要があるため、相応に時間がかかります。しかし、このような攻撃は金銭を直接盗むために利用されることが多いため、犯罪者は常にこの手法を試みています。

さらに読む：クイッシングとヴィッシング：新たなセキュリティ脅威から身を守る方法

2. ブラウザの中間者攻撃：マルウェアによる中間者攻撃

「中間者」攻撃の亜種として、被害者のブラウザに直接埋め込まれるマルウェアが挙げられます。この悪意のあるコードは、ユーザーが2要素認証を含む銀行へのログインを完了するまで待機し、その後、バックグラウンドで被害者からの送金操作を実行します。このようなマルウェアの例としては、Carberp、Emotet、Spyeye、Zeusなどが挙げられます。

送金金額と受取人に関する正確な情報はユーザーのブラウザに表示されるため、ユーザーはワンタイムパスワードで確認します。しかし実際には、マルウェアは別の受取人宛てに密かに多額の送金を銀行に送金しています。

身を守る方法：ほとんどの銀行は、承認のためにワンタイムパスワードを要求した際に、確認のために送金額を再度送信します。多くの場合、受取人のIBANも全部または一部送信されます。これらのデータは必ず慎重に確認してください。

さらに詳しく:データのプライバシーを向上させるために、Windows の 5 つの設定を変更しましょう

多くの場合、攻撃者はダークネット上のパスワードコレクションからオンラインアカウントのユーザー名とパスワードを既に入手しています。あるいは、情報窃取ツール（マルウェア）を被害者のPCに密かに持ち込んでいる場合もあります。

攻撃者が被害者のオンラインアカウントにログインするために依然として必要とするのは、2要素認証です。彼らは被害者に電話をかけることでこれを入手します。彼らは銀行の従業員を装い、例えば新しいセキュリティ手順を導入したいと主張します。そのためには、顧客の2要素認証手順による認証が必要だと主張します。

この時点で被害者が 2FA 経由でアクションを承認した場合、新しいセキュリティ手順に同意したわけではなく、攻撃者のアカウントに資金を送金したことになります。

身を守る方法： 2FAコードや認証情報を他人に教えたり、発信者の指示に従って教えたりしないでください。正規のサービス担当者がそのような秘密情報を要求することは決してありません。

二要素認証ログインのヒント

IDG

これらのヒントを活用すると、2 要素認証を使用したサービスへのログインがより簡単かつ安全になります。

1. 緊急時のコードを作成し、印刷して安全な場所に保管してください。旅行中は常に2～3個のコードを携帯してください。
2. 2FA方式を複数有効にしましょう。例えば、認証アプリとハードウェアトークンの両方を使用します。こうすることで、アプリも緊急コードも手元にない場合のバックアップとなります。
3. 機密性の高いアカウントでは、SMS経由の2FAコードは使用しないでください。犯罪者がSIMカードを盗んだり、フィッシング詐欺でSMSコードを入手したりする可能性があるためです。
4. バックアップ機能付きの認証アプリを使用してください。そうすれば、すべてのコードを含むアプリを新しいスマートフォンに持ち運ぶことができます。そうしないと、アプリを再インストールする際に、すべての2FAサービスを再度設定する必要があります。

4. SIMスワッピング：攻撃者がSIMカードを盗む

一時期、ユーザーがオンラインアカウントからテキストメッセージで受け取るワンタイムパスワードは、二要素認証ログインの安全な方法と考えられていました。しかしその後、犯罪者はSIMスワッピングという手法を開発し、多数のオンラインアカウントを空にしました。その中には、二要素認証で保護されたオンラインビットコイン取引所のアカウント数百万件も含まれていました。ここでも、攻撃者が被害者のユーザー名とパスワードを既に知っていることが前提条件となります。

SIMスワッピング（SIMハイジャックとも呼ばれる）では、攻撃者は被害者の携帯電話番号を乗っ取ります。攻撃者は携帯電話会社に新しいSIMカードまたはeSIMを送付させます。攻撃者は自分の携帯電話でこれを有効化し、二要素認証ログイン用のワンタイムパスワードが記載されたテキストメッセージを受信します。

攻撃者は多くの場合、携帯電話会社に携帯電話を紛失したと伝え、新しいSIMカードを要求するだけです。新しいSIMカードは新しい住所に送られるべきです。携帯電話会社がこれを望んでいない場合、犯人は郵便物が被害者の正しい住所に届くまで待ち、実際の受取人より先に郵便受けを空にします。

もちろん、これは攻撃者にとっては非常に時間のかかる作業です。しかし、口座に多額の資金を持つ被害者にとっては、犯罪者にとってその労力は明らかに価値があります。

身を守る方法：可能であれば、2FAにSMSを使用しないでください。認証アプリなどから取得するワンタイムコードの方が安全です。

5. マルウェアが認証クッキーを盗む

二要素認証ログインを採用している多くのサービスでは、PCのインターネットブラウザを記憶させるオプションを提供しています。こうすることで、同じPCで同じブラウザを使って二要素認証でログインする際に、一度だけログインするだけで済みます。次回のログイン時には、ログイン情報を一切入力しなくても済むか、ユーザー名とパスワードだけで済みます。

これにより利便性は飛躍的に向上しますが、攻撃対象領域も拡大します。この方法では、サービスはユーザーのPCに認証Cookieを保存します。このCookieには、ログインデータが暗号化された形式で含まれています。攻撃者がユーザーのPCに情報窃取ツール（マルウェア）を配置することに成功した場合、ログイン情報を含むCookieを盗むことができます。攻撃者は自分のPCでこのCookieを使用し、ログインや2要素認証を必要とせずにオンラインサービスを開きます。

こうした情報窃盗マルウェアの一例がLummaです。これは2022年からPCを攻撃しており、ロシア語の地下フォーラムで「サービスとしてのマルウェア」として提供されています。

身を守る方法：もちろん、すべてのWindowsコンピューターに優れたウイルス対策プログラムをインストールする必要があります。これにより、Info Stealerをブロックできます。さらに、アカウントを2要素認証に設定すれば、ログインするたびに2つ目の要素を入力する必要が出てきます。これは通常、デフォルトの設定です。

さらに読む: Googleのダークウェブ監視は実はかなり役に立つ

6. ログイン時の代替手段としての安全でない要素

2要素認証（2FA）でよくある間違いは、安全性の低い2要素認証を選択することです（「2要素認証の概要」の囲み記事を参照）。多くのユーザーは、オンラインサービスで既により優れた2要素認証方式が提供されているにもかかわらず、依然としてSMSを2要素認証として使用しています。しかし、2要素認証としてのSMSは、SIMスワッピングなどの攻撃に対して脆弱です（上記参照）。

メールアドレスを二要素認証として使用することも、限られた範囲でのみ推奨されます。ただし、安全な二要素認証ログインでメール受信トレイを保護している場合は除きます。

弱い要素は、バックアップとしてのみ使用する場合も危険です。多くのオンラインサービスでは、1つのアカウントに複数のログイン要素を保存するオプションを提供しています。これは、何かが機能しない場合に別の要素に切り替えることができるため、便利です。

しかし、攻撃者はいつでも他のログイン方法に頼ることが可能です。ここでも、「鎖の強さは、最も弱い環の強さに等しい」という格言が当てはまります。

したがって、認証アプリのワンタイムパスワードでアカウントを保護するだけでなく、ログインオプションとして電子メールによるワンタイムパスワードを有効にすると、攻撃者はこれを利用することもできます。

身を守る方法：サービスにログインするための要素を複数保存しておくことをお勧めします。例えば、認証アプリのワンタイムパスワードやパスキーなどです。ただし、SMSやメールといった安全でない要素は避けてください（「2要素認証の概要」の欄を参照）。

2要素認証の概要

2 要素によるログインには、安全な方法と安全性の低い方法があります。

1. ワンタイムパスワード

SMS ベースの OTP:ワンタイム パスワード (OTP) が SMS 経由でユーザーの携帯電話に送信されます。

セキュリティ: SMS OTP は、SIM スワッピング攻撃や中間者攻撃に対して脆弱であるため、比較的安全性が低いです。

アプリベースの OTP:ワンタイム パスワードは、Google Authenticator や Aegis Authenticator などの認証アプリによって生成されます。

セキュリティ：アプリベースのOTPは外部ネットワークを経由しないため、SMSベースのOTPよりも安全です。ただし、フィッシング攻撃の被害に遭う可能性があります。

電子メールベースの OTP:ワンタイム パスワードが電子メールでユーザーに送信されます。

セキュリティ：メールによるワンタイムパスワードは、傍受される可能性があり、安全性の低いネットワークを経由して送信されることが多いため、他の方法よりも安全性が低くなります。さらに、メールアカウントはフィッシング攻撃の標的となることがよくあります。

プッシュ通知：ユーザーの携帯電話の認証アプリケーション（Microsoft Authenticatorなど）にプッシュ通知が送信されます。ユーザーは通知に同意する必要があります。

セキュリティ：プッシュ通知はユーザーとの直接的なやり取りを必要とするため、比較的安全です。しかし、ユーザーを騙して通知を確認させようとするソーシャルエンジニアリング攻撃に対しては脆弱です。

2. ハードウェアトークン

U2F/FIDO2 トークン: U2F/FIDO2 標準に基づいた USB または NFC ベースのハードウェア トークン (Yubikey など)。

セキュリティ:これらのトークンは、認証に暗号化キーを使用し、フィッシングや中間者攻撃に対する耐性があるため、非常に高いレベルのセキュリティを提供します。

IDG

3. パスキー

パスキー:パスキーは、ほとんどのサービスでパスワードの追加オプションとして使用されます。

セキュリティ：パスキーを真の第二要素として設定すれば、ログインは非常に安全になります。ただし、パスワードの代替としてパスキーを使用する場合、パスワードログインに切り替えることができるため、パスワードよりもセキュリティはそれほど高くありません。

4. 生体認証

指紋など:指紋センサーまたは生体認証カメラを使用してロック解除やログインを行います。

セキュリティ:指紋は、少なくとも被害者と直接接触している場合は、多くの人が考えるよりも簡単に偽造できます。

セキュリティ評価と推奨事項

最高のセキュリティ:ハードウェア トークンは、その物理的な性質により、最高のセキュリティを提供します。

中程度のセキュリティ:パスキー、アプリベースの OTP、プッシュ通知、生体認証は、SMS や電子メールの OTP よりも安全ですが、ソーシャル エンジニアリングなどの攻撃に対して脆弱です。

最も安全性が低い: SMS と電子メールの OTP は攻撃に対して最も脆弱であるため、使用を避ける必要があります。

この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。