2要素認証の突破はもはや当たり前 “ここまでやるか”と思わせる攻撃者の最新手口

iOS 18世代ではこれまでキーチェーンとして提供されていた機能が「パスワード」アプリとして切り出される（出典：AppleのWebサイト）

　コンシューマーとしての利用者、そして組織の一員としての従業員個人に対するサイバー攻撃の主流は「フィッシング」だと思います。フィッシングも偽サイトに誘導するという、これまでよく知られるものから、サポート詐欺として偽のセキュリティ警告を執拗（しつよう）に表示し、表示される番号に電話をかけさせるという新たな手法も登場しています。「怪しいWebサイトにはアクセスしない」という基本的なものではなく、もう一段踏み込んだ対策が必要です。

　新たな標的型攻撃についても注意が必要です。一部のかいわいで流行している手口としては、海外からのインタビュー依頼が届き、取材に必要な翻訳やビデオ通話といったツールを指定され、これをダウンロードすると実はツールにマルウェアが仕込まれており、PC内にある認証情報や仮想通貨のトークンを丸ごと奪われるというものもあります。

　こちらについてはターゲットが絞られている分、そこまで話題になっておらずSNSで被害者の方が詳細にレポートしていることで、ようやく知られてきています。

　最近は、PCゲームの購入などができるプラットフォーム「Steam」で、アカウントの2要素認証を設定していたにもかかわらず“突破された”ということが少々話題になっていました。今回はそこから、話を広げたいと思います。

●2要素認証の突破はもはや当たり前だと思った方がいい

　まず、高度な詐欺の前では2要素認証は「かなり危うい」というのが現状であることを、ぜひ皆さんには理解していただきたいと思います。筆者はこれまでこの連載で、セキュリティ対策において「2要素認証は必須」と繰り返し伝えてきました。パスワードが漏れたとしても、それだけでは簡単になりすましてのログインできないという意味で、安全が確保できると説明をしていたと思います。

　しかし時代が変わってしまいました。私たちが2要素認証を当たり前のように使ったことで、攻撃者はそれを前提とした仕組みを考えます。主には、偽のWebサイトを作り、そこに2要素認証のワンタイムパスワードをあなた自身に入力させることで、攻撃者は利用者しか知り得ない情報を得て、それを本物のログインページに入力します。

　この手法を採ることで、2要素認証は（ある程度簡単に）“突破”できてしまいます。例えば2022年8月に発生したTwilioに対する一連の攻撃キャンペーンではこのようなフィッシングが実行されました。幸い、この攻撃はCloudflareによって防がれました。