ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。
Bypassing 2FA – Secret double octopus
https://doubleoctopus.com/blog/threats-and-alerts/bypassing-2fa/
企業向けのパスワードレス認証技術を手がけるDouble Octopusによると、そもそもパスワードを用いること自体が基本的に安全なものとは言えないとのこと。そのため、2FAを導入したログイン方法もその場しのぎの対処法に過ぎず、せいぜいパスワードだけしか要求しないログイン方法よりはましだという程度に過ぎないそうです。
Double Octopusはハッカーが2FAを突破するのに使う代表的な手口として、以下の4つを紹介しました。
◆Necro browser
Necro browserは、リバースプロキシを可能にするMuraenaと組み合わせることでフィッシングを自動的に行うことを目的に作られたツールです。
Double Octopusによると、基本的な仕組みは普通のフィッシングツールと同じですが、Necro browserは正規のサイトに似せたサイトを用いた典型的なフィッシングと違い、「被害者と正規のサイトの通信を仲介するプロキシ」として機能するという改良点があるとのこと。そのため、ハッカーは被害者に気取られることなく、パスワードと2FA用の認証コードの両方を自動的かつリアルタイムに盗み出すことが可能なのだそうです。
Necro browserについてDouble Octopusは、「このツールの一番やっかいな点は、この手の攻撃を普通に実行しようとすると比較的複雑な設定をしなければならないにもかかわらず、Necro browserが完全に自動化されているおかげで、技術力に関係なく誰でも2FAを破れることです」と指摘しました。
◆マン・イン・ザ・ブラウザ攻撃
マン・イン・ザ・ブラウザ攻撃とは、プロキシ型トロイの木馬を用いてブラウザの通信を窃取したり改ざんしたりする攻撃のことです。
マン・イン・ザ・ブラウザ攻撃を行おうとするハッカーは、まずフィッシングやソーシャルエンジニアリングなどの手口でターゲットのブラウザにトロイの木馬を仕込みます。すると、ハッカーはブラウザの履歴やアクティビティに自由にアクセス可能になるので、パスワードも含めたあらゆる入力を簡単に盗むことができます。
マン・イン・ザ・ブラウザ攻撃のために作られたトロイの木馬の多くは、ログイン画面に偽の認証コード入力欄を追加する機能を持っているので、パスワードと同時に2FA用の認証コードを一挙に盗み出すこともできるとのこと。「多くの人は、ブラウザに頼りすぎなのです」とDouble Octopusは指摘しました。
◆ソーシャルエンジニアリングとフィッシング
マン・イン・ザ・ブラウザ攻撃などの下準備として使われることもあるソーシャルエンジニアリングとフィッシングは、それ自体も脅威になります。Double Octopusによると、この方法で2FAを突破する方法は、大きく分けて以下の2つのシナリオに分かれるとのこと。
シナリオ1:ハッカーが既にターゲットのIDとパスワードを保有している場合
・ハッカーはまず、ユーザーに「お客様のユーザーアカウントが不審なIPアドレスからのアクセスを受けました。確認のため、電話番号に送信された認証コードを返信してください」といったメッセージを送信する。
・ハッカーは次に、ユーザーの代わりにIDとパスワードを入力して侵入したいサービスにログインする。
・サービスは、正規ユーザーからログインされたと勘違いしてユーザーに2FA用の認証コードを送る。
・ユーザーがその認証コードをハッカーに返信してしまう。
シナリオ2:ハッカーがまだIDやパスワードを持っていない場合
・ハッカーは最初に、正規のサービスからのメールに見せかけた巧妙なメールをターゲットに送る。
・ユーザーが、そのメールのURLに記載された偽のログインページにアクセスし、IDとパスワードを入力する。
・ハッカーは、そのIDとパスワードを使って正規のサービスにログインする。あとはシナリオ1と同じ。
◆特権昇格
企業のシステムに侵入したハッカーが特権昇格に成功した場合、特定のアカウントに紐付けられている電話番号を別の電話番号に変更できるようになります。その結果、2FAにより発行されたワンタイムパスワードをハッカー自身が受け取るなどして、いとも簡単に2FAが突破されます。
まとめると、ハッカーは以下のような方法で2FAを回避できるとのこと。
・2FAの認証コードを総当たりで特定する
・通信の間に割り込んで認証コードを盗み取る
・認証コードをハッカーのデバイスに送るよう仕向ける
・なりすましなどの手口で認証コードを被害者から直接入手する
・2FAのセッショントークンを盗んで2FAが済んだことにしてしまう
・2FAトークンが期限切れにならないといったシステムのバグを利用する
Double Octopusは末尾で、「この問題を解決するには、パスワードを手放すしかありません」と述べて、自社のパスワードレス認証の有効性を強調しました。
この記事のタイトルとURLをコピーする
