2要素認証の突破はもはや当たり前 “ここまでやるか”と思わせる攻撃者の最新手口

　もう一つの方法は、本コラムでもたびたび触れている「パスキー」の利用です。パスキーはフィッシングに強く、さらには利便性も高いため、利用できるサイトはまだ少ないですが、こちらもぜひ一度体験してみてほしいと思います。特に子どもたちも使う「ニンテンドーアカウント」などもパスキー対応しているので、もしかしたら若い世代のほうが慣れている認証方法かもしれません。

●いたちごっこではあるが、前向きに学んでいこう

　悪い表現をすればセキュリティはいつまでたってもこういったことを覚えていかなければならない、大変面倒くさいものです。しかし、後ろ向きでありつづけるのもしゃくです。こういった攻撃者の進化を目の当たりにしたら、謎解きゲームに立ち向かうかのように「おっ、そういう考え方もあるのか！」と捉え、さらなる謎解きを攻撃者に強いる……といった、勝手なゲーミフィケーション的に捉え、前向きに考えてみてはいかがでしょうか。

　個人的には、一時期大きく報道された「SIMスワップ」の手法などは、私たちが考え出した本人認証に穴があることをデバッグしてくれた事例だと捉えています。もう一つ印象的だったのは、2要素認証を突破するため、スマートフォンで利用者が「承認」を押すまでプッシュ通知し続けるというMFA Fatigue Attack（多要素認証疲労攻撃）でした。ほんの少しのことを攻撃に転用するという力はあなどれません。

　セキュリティに終わりはありません。まずは目の前のフィッシング対策として、直撃を食らわないよう、過去の事例に学びつついまできる対策をしていきましょう。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。