2要素認証の突破はもはや当たり前 “ここまでやるか”と思わせる攻撃者の最新手口

　冒頭の話に戻ると、問題は被害に遭われた方の勇気ある報告に対して「2要素認証が突破されたではなく、自ら偽のサイトにワンタイムパスワードを入力したからでは？」という反応が多かったことです。

　そのこと自体は事実ではありますが、フィッシング詐欺に対して「見抜けなかった」ことを責めるのはよくありません。攻撃者＝詐欺師は、人の脆弱（ぜいじゃく）性を突く行動を取っており、簡単には見抜けない手法を使って被害者をだまします。偽のWebサイトに情報を入力させたことは、2要素認証にとっては“突破”と考えてよいでしょう。

　フィッシングに対抗して2要素認証が生まれ、それなりに浸透もしました。しかし攻撃者はそれを上回る手法を考え出し、新たな被害をもたらしています。終わりのない“いたちごっこ”ではありますが、私たちはさらなる対抗手段を講じる時期が来ています。

●終わらない“いたちごっこ”と現時点で有効な2つの対抗手段

　その対抗手段として、すぐに活用できるのは「パスワード管理ソフト」です。Webブラウザにも内蔵されるようになった機能で、間もなくリリースされる「iPhone」の「iOS 18」および「macOS Sequoia」では、独立したパスワード管理ツールがOS標準で実装される予定です。

　パスワード管理ツールは、IDとパスワードを入力すべきドメイン名とセットで記録しています。加えて、ワンタイムパスワードの情報も登録できるため、ワンタイムパスワードを入力すべきドメイン名もリンクされ、偽のログインページでは自動入力されないことで、本物かどうかを機械的に判定できます。

　つまり新たな攻撃があることから、私たちは対抗手段として「ワンタイムパスワードを手入力しない」という方法が採れるはずです。そのためには、パスワード管理ソフトをまず試してみることからスタートしましょう。

　Webブラウザの付属している機能でも、上記OSで実装される機能でも構いません。筆者は独立した、サードパーティーの「1password」を活用していますが、これもアプリ選定が非常に難しく、パスワードマネジャーという名前を付けた偽アプリの可能性すらあります。

　無料だからといって見知らぬアプリを利用しないようにしましょう――というのが一番難しく、OS標準で実装されることは、個人的はありがたいと思っています（もちろん、最も狙われる部分になるので脆弱性情報には注意しなくてはなりませんが）。