SMSを利用した「2要素認証」をサイバー犯罪者たちが突破する手法を紹介(AFCC) | ScanNetSecurity
2020.08.08(土)

SMSを利用した「2要素認証」をサイバー犯罪者たちが突破する手法を紹介(AFCC)

 RSAが提供するフィッシングサイト閉鎖サービス「RSA FraudAction」の中核であるAFCC(Anti-Fraud Command Center:不正対策指令センター)は30日、フィッシングやオンライン犯罪関連の最新動向「Monthly AFCC NEWS」を公開した。

調査・レポート・白書 調査・ホワイトペーパー
 RSAが提供するフィッシングサイト閉鎖サービス「RSA FraudAction」の中核であるAFCC(Anti-Fraud Command Center:不正対策指令センター)は30日、フィッシングやオンライン犯罪関連の最新動向「Monthly AFCC NEWS」を公開した。

 今回の「Monthly AFCC NEWS」では、SMSを利用した「2要素認証」を、サイバー犯罪者たちが突破する手法が紹介されている。

 「2要素認証」は、ユーザのログイン時に、IDとパスワードによるチェックだけでなく、別途、USBトークンやスマートカードなどの所持デバイス、指紋や顔などの生体認証など、2つの認証方式を併用するものだ。最近では、ネットバンキングなどのオンラインサービスでも採用されている、一方でサイバー犯罪者は、「2要素認証」を回避・突破するさまざまな手法を模索している。

 今回RSAでは、Firefoxのアドオン「Tamper Data」を使う手法を、ロシア語圏の地下フォーラムで発見したとしている。「Tamper Data」は、WebサイトやWebアプリケーションの動作確認のため、HTTP通信の内容を確認したり、カスタマイズしたりするアドオンだ。これ自体は、通常のFirefoxアドオンとして公式サイトからも入手できる。

 しかし「Tamper Data」を悪用することで、HTTP通信のGET要求・POST要求の不正改ざんなども可能となる。そのため、「2要素認証」を回避し、あたかも利用者本人の端末からログインが試みられたかのように見せかけることができるという。これにより、標的のオンラインバンキング口座へアクセス可能となる。

 今回発見された事例は、ユーザーの所持デバイス自体がなくても、その「デバイスID」さえ入手していれば、2つめの要素として、ログインを試みるというものだった。ただし、別途IDとパスワードも入手しておかなければならないため、決して容易な攻撃ではない。しかし「2要素認証が決して万能とは言えないことを示す好例」だと、RSAでは指摘している。

2要素認証は万能ではない……Firefoxアドオンで突破する事例、RSAが紹介

《冨岡晶@RBB TODAY》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×