2要素認証がこんなに簡単に突破される訳

2019年秋から今年にかけて急激に2要素認証が突破されています。それを示すように、インターネットバンキング上の不正送金事件も増加しています。 今回はその手口を詳しく説明し、個人で実践可能な対応策を提案します。

「2要素認証」とは、IDやパスワード入力のほかに、本人しか知りえない、または本人自身の特性や本人しか所有していない他の要素の認証を追加することで、認証プロセスをより強固にするやり方です。不正アクセスが増加する世の中では必須になりつつあります。みなさんも、ショッピングサイトで買い物する時に、パスワード以外に、スマホ宛に4桁のメッセージ(SMS)が届いて、その数字を入力したりしたことありませんか?これが2要素認証です。

警視庁の資料(下記)によると、インターネットバンキングのフィッシング詐欺は減少傾向にあります。これは金融機関と政府が一体となり対策に取り組み、利用者への注意喚起を務めた結果、被害が減少したのです。この資料だけを見ると、「インターネットの世界にもようやく平和が訪れた。」ように見えますが、ここ最近、気になる動きが観測されています。

下記の表をみていただければ9月から不正送金の被害件数が爆発的に発生し始めたことがわかります。特に令和元年の9月から事態が一変してしまいました。時を同じくして、フィッシングメールや、ある特定の詐欺サイトへのアクセスも増加傾向にあります。

警視庁資料による「不正送金事犯発生状況(令和元年)
出典:http://www.npa.go.jp/cyber/policy/caution1910.html

インターネットの世界で何が起こっているか? 不正送金を成功させるその手口は? ESETのオンラインマーケティングマネージャー梅澤が、セキュリティエバンジェリスト中川に事情を聞いてみました。

梅澤:不正送金の事案が急激に増えていると聞きました。ただ最近はどのインターネットサービスを利用するにしても、2要素認証を要求されますよね。自分の理解では、セキュリティは大丈夫だと思っていたのですが、違うのですか?

中川:昨今、従来のユーザネーム/パスワードを入力する方式は、パスワードを容易に破られてしまい、多大な被害がでてしまいました。その為、オンラインサービスを利用する際はパスワードとは別の要素を要求する2要素認証を採用する会社が急激に増えているのです。

梅澤:たしかに、最近利用したショッピングサイトや、SNSのサービスではログインしようとすると、新たにセキュリティコードを求められますね。

中川:はい、ハッキンググループは様々な攻撃とツールでパスワードを解読しようとします。解析能力の優れたコンピュータプログラムには、もはや単なるパスワードだけでは十分ではないのです。別の要素もログインに必要とすることで、認証のレベルをあげる必要があります。

梅澤:パスワードと別に認証する訳ですからね、、では2要素認証のサービスを使っていれば安心そうですね。

中川:ひと昔前は大丈夫だったのですが、近頃はそうとも言えなくなってしまったのです。これは、2要素認証の仕組みが破られ始めた事実があるからです。
下の図は2要素認証を突破する構成をわかりやすく絵にしたものです。
ポイントは、被害者と正規サイトの間にハッカーが作成した偽サイトがあるということです。中間者攻撃という手法を駆使することで、被害者は、自身のID・パスワードはおろか、自分しかわからないはずのセキュリティコードを、攻撃者に教えてしまうことになってしまいます。
やり方はこうです。攻撃者は正規サイトの会社を名乗り、「アカウントにリスクがある」などのメールやSMSを送付し、利用者の不安をあおって偽サイトにアクセスさせます。被害者が偽サイトでIDやパスワードを入力するとこれを正規のサイトに転送し、そうすると、当然、正規サイトはユーザーのスマホにセキュリティコードを送付します。
事情がわかっていない被害者は、受け取ったセキュリティコードを引き続き偽サイトに入力します。偽サイトは、これをまた正規サイトに転送、ログインが無事成功します。あとは攻撃者のやりたい放題になるといった訳です。

#対策

梅澤:これを聞くと何も知らずにインターネットで支払いを多用している自分なんかはとても怖くなりますね。対策はどのようにしたら良いのでしょうか?

中川:この攻撃は人間の脆弱性を柱にしています。逆に注意深い人であれば、未然に防ぐことが可能と言えます。チェックポイントは2点あります。
1点目はスマホやPCに届くメッセージです。時にメールだったり、SMSだったりするでしょう。とにかく安易にリンクをクリックしないことが重要です。送信元やタイトル、本文をコピーして、Googleで検索すると詐欺であるかどうかがわかります。
2点目は偽サイトです。これは巧妙に作られているので、判別がかなり難しいです。サイトのURLを注意深く見ればフェイクと気づきますが、普通はそんな細かいところまでチェックしませんよね。その為、私のおすすめ対策は、メッセージに記されたURLは絶対にクリックせず、事前に自分で正しいサイトをブックマークに登録しておき、金融系やECショッピングのサイトはそのブックマークからアクセスするよう習慣化することです。

#まとめ

今回、2要素認証を回避する攻撃側の最新トレンドをご紹介しました。攻撃は進化しており、また偽サイトを安易に作成できるパッケージも闇サイトで入手が容易になりました。ハッカーは既存の防御の網をかいくぐるべく、攻撃を進化させており、防御側は新しい防御手法を確立していかねばなりません。しばらくはインターネットを利用するユーザーのリテラシーを問われる時代となりそうです。

ESET社はサイバーセキュリティの専門会社として30年にわたりこの分野のエキスパートとして活躍してまいりました。 セキュリティでお困りの際には是非ご相談ください。

ESET Japan オンラインマーケティングマネージャー

梅澤ヒロアキ

ESET Japan  テクノロジー&セキュリティエバンジェリスト