2要素認証は万能ではない……Firefoxアドオンで突破する事例、RSAが紹介
ブロードバンド
セキュリティ
-
コスパ最強の“手のひらサイズ”ミニPC「GT13 Pro 2025 Edition」「A5 2025 Edition」がGEEKOMから登場!
-
NTTソフト、サイトへのDDos攻撃や改ざんを防ぐセキュリティサービス
-
大日本印刷、組み込み用「M2Mセキュアモジュール」提供開始
今回の「Monthly AFCC NEWS」では、SMSを利用した「2要素認証」を、サイバー犯罪者たちが突破する手法が紹介されている。
「2要素認証」は、ユーザのログイン時に、IDとパスワードによるチェックだけでなく、別途、USBトークンやスマートカードなどの所持デバイス、指紋や顔などの生体認証など、2つの認証方式を併用するものだ。最近では、ネットバンキングなどのオンラインサービスでも採用されている、一方でサイバー犯罪者は、「2要素認証」を回避・突破するさまざまな手法を模索している。
今回RSAでは、Firefoxのアドオン「Tamper Data」を使う手法を、ロシア語圏の地下フォーラムで発見したとしている。「Tamper Data」は、WebサイトやWebアプリケーションの動作確認のため、HTTP通信の内容を確認したり、カスタマイズしたりするアドオンだ。これ自体は、通常のFirefoxアドオンとして公式サイトからも入手できる。
しかし「Tamper Data」を悪用することで、HTTP通信のGET要求・POST要求の不正改ざんなども可能となる。そのため、「2要素認証」を回避し、あたかも利用者本人の端末からログインが試みられたかのように見せかけることができるという。これにより、標的のオンラインバンキング口座へアクセス可能となる。
今回発見された事例は、ユーザーの所持デバイス自体がなくても、その「デバイスID」さえ入手していれば、2つめの要素として、ログインを試みるというものだった。ただし、別途IDとパスワードも入手しておかなければならないため、決して容易な攻撃ではない。しかし「2要素認証が決して万能とは言えないことを示す好例」だと、RSAでは指摘している。
