2018年末頃から二要素認証が破られたというニュースが続いていますので、今回はこの件を調べてみました。
>マイナビニュース「相次ぐ2要素認証突破、どう対抗すべきか?」
二要素認証は従来のパスワード認証を強化するためのものですが、二要素認証のタイプによっては、突破する方法が発見されたとのこと。
ポーランドのセキュリティ研究者によって発表された「Modlishka」という、リバース・プロキシ・ソフトウェアを使った二要素認証を突破する方法です。このリパース・プロキシ・ソフトウェアを、本物サイトとユーザーの間に偽サイトを入れて、送信情報を中継させることで、情報を不正入手するのです。
そのプロセスは以下のようになります。
ターゲットを偽サイトに誘導し、アカウントやパスワードなどの情報を入力させる
<認証情報を不正入手>
<認証情報を不正入手>
↓
入力情報をリアルタイムで本物サイトにも送信
↓
本物サイトでの送信結果(発行パスコード等)をユーザーに戻す
↓
ユーザーは送られてきたパスコードを偽サイトに入力
<二要素目の認証情報も不正入手>
<二要素目の認証情報も不正入手>
↓
パスコードの有効期間中に本物サイトに入力
↓
突破!ヽ(; ゚д゚)ノ
という感じで二要素認証でのパスコードまで盗まれてしまうということです。
正確には、二要素目にパスコードをメールやSMSなどで送信する形の二段階認証が突破されているということで、全ての二要素認証を破れるわけではありません。
また、基本的にはフィッシングです。
あやしいメール(といっても最近は巧妙化してきていますが)にあるURLリンクを開かないようにしたり、開いたとしても鍵マークやSSL証明書を確認したりして、安易にパスワードや個人情報を入力しないようにしましょう。
フィッシングサイト対策関連は下記の記事をご参照ください。
>フィッシング詐欺サイトを見抜くポイントの1つは「鍵マーク」!
「二要素認証だから安心」だという盲信に対して警鐘を鳴らすために開発公開された「Modlishka」ですが、サイバー犯罪者に二要素認証を突破する新しい手法を提供することにもなってしまうのは、仕方がないとはいえ皮肉なことですね。( ̄□ ̄;)