- 2要素認証回避(2FAバイパス)とは、パスワードに加えてワンタイムパスワードなどを求める二要素認証を、中間者攻撃やSIMスワップ、マルウェアで突破する攻撃手法のことだ。
- 攻撃者は偽サイトと正規サイトの間に入り、入力された瞬間のワンタイムパスワードをリアルタイムで盗んで即座に正規サイトに入力し、有効期限1分のコードすら突破してアカウントを乗っ取ってしまう。
- 仕組みを知っておけば、SMS認証より認証アプリやパスキーを使い、URLを必ず確認するという対策が打て、二要素認証の過信による被害を防げる。
【深掘り】これだけは知っておけ
二要素認証(2FA)は、パスワード(知識情報)に加えて、ワンタイムパスワード(OTP)や認証アプリのコードなど別の要素を要求することで、パスワードが漏れてもアカウントを守る仕組みです。しかし、これを突破する手口が複数存在します。最も多いのが中間者攻撃型の「リアルタイムフィッシング」です。攻撃者は正規サイトそっくりの偽サイトを用意し、被害者がIDとパスワードを入力すると、それをリアルタイムで正規サイトに入力します。次に偽サイトでOTPの入力を求め、被害者が入力した瞬間に、有効期限1分程度のOTPを盗んで即座に正規サイトに入力し、不正ログインを完了させます。正規の手順でOTPが発行されるため、サービス提供者側も不正に気づきにくいのが特徴です。
他の手口として、SIMスワップ(携帯電話番号を乗っ取ってSMSのOTPを受信する)、SMS傍受、マルウェアによるOTP窃取があります。ESETは、トルコの暗号資産交換所BtcTurkのアプリを装い、SMSのアクセス許可を使わずに端末の通知からOTPを読み取る悪意あるアプリを発見しました。このアプリは2FA通知を読み取るだけでなく、被害者に気づかせないために通知を無効化する機能も持っていました。重要なのは、二要素認証の方式によって安全性が異なる点です。SMSによるOTPはSIMスワップやSMS傍受のリスクがあるため、高価値な用途では推奨されません。認証アプリ(TOTP)やパスキー(FIDO2)の方が安全性が高いとされています。
実践的な対策として、可能な限りSMS認証ではなく認証アプリやパスキーを選ぶこと。ログイン画面のURLを必ず確認し、少しでも不審なら入力しないこと。メールやSMSのリンクからログインせず、ブックマークや公式アプリからアクセスすること。OSとアプリを最新に保ち、不審なアプリをインストールしないこと。SIMスワップ対策として携帯キャリアに本人確認の強化を依頼すること。二要素認証は依然として強力な防御策ですが、「設定したから絶対安全」ではありません。手口を理解し、より安全な認証方式を選ぶことが、回避攻撃への備えになります。
2要素認証回避の主な手口
| 手口 | 仕組み | 対策 |
|---|---|---|
| リアルタイムフィッシング | 中間者として入力直後のOTPを盗む | パスキー利用・URL確認 |
| SIMスワップ・SMS傍受 | 電話番号を乗っ取りSMSのOTPを受信 | SMS認証より認証アプリ |
| マルウェアによるOTP窃取 | 端末の通知からOTPを読み取る | 不審なアプリを入れない |
典型的なフレーズ・文脈
(中間者攻撃の実行中)偽サイトに被害者がID・パスワードを入力した。即座に正規サイトに入力してOTP送信をトリガー。被害者のスマホにOTPが届いた。偽サイトでOTP入力欄に入った瞬間、正規サイトに転記してログイン完了。
偽サイトと正規サイトの間に入り、入力された瞬間のワンタイムパスワードをリアルタイムで盗む中間者攻撃の典型的な流れです。有効期限の短いコードも突破されます。
セキュリティ専門家は、二要素認証を突破するリアルタイムフィッシングが急増しているとして、有効期限の短いワンタイムパスワードも入力直後に窃取されると警告し、SMS認証より認証アプリやパスキーの利用を呼びかけています。
2要素認証回避の手口を報じる報道番組のキャスターを想定した表現です。
SMS認証より認証アプリやパスキーを使ってください。パスキーは偽サイトでは認証が成立しないので、リアルタイムフィッシングを根本から防げます。ログイン時はURL確認を必ず。被害は#9110へ。
セキュリティ専門家が、2要素認証回避への対策として安全な認証方式を助言する場面を想定しています。
困ったときの相談窓口
2要素認証回避による不正アクセス被害が疑われる場合は、以下の窓口に相談できます。
| 窓口名 | 電話番号 | 受付時間 | 対応内容 |
|---|---|---|---|
| 警察相談専用電話 | #9110 | 平日 8:30〜17:15(各都道府県で異なる) | 不正アクセス・アカウント乗っ取りの相談 |
| IPA安心相談窓口 | 03-5978-7509 | 平日 10:00〜12:00、13:30〜17:00 | フィッシング・不正アクセスの相談 |
| 金融サービス利用者相談室 | 0570-016811 | 平日 10:00〜17:00 | 不正送金など金融トラブルの相談 |
【まとめ】3つのポイント
- 正体は二要素認証を突破する攻撃:中間者攻撃・SIMスワップ・マルウェアでOTPを盗み、アカウントを乗っ取ります。
- 有効期限1分のOTPも突破される:リアルタイムフィッシングなら入力直後に窃取して即座に使われます。
- SMS認証より認証アプリ・パスキー:特にパスキーはフィッシング耐性があり、URL確認とあわせて根本的な防御になります。
よくある質問
-
Q二要素認証を設定していれば安全ではないのですか?
-
A
二要素認証はパスワードだけより遥かに安全ですが、絶対ではありません。リアルタイムフィッシングやSIMスワップ、マルウェアによって突破される手口が存在します。とはいえ、二要素認証を設定しないより設定したほうが圧倒的に安全なので、必ず設定すべきです。その上で、より安全な方式(SMSより認証アプリ、認証アプリよりパスキー)を選び、URL確認などの基本対策を併用することで、回避攻撃のリスクを大きく下げられます。
-
Qパスキーがフィッシングに強いのはなぜですか?
-
A
パスキー(FIDO2/WebAuthn)は、認証の際に「どのサイトに対する認証か」をドメインと結びつけて検証します。そのため、偽サイトでは正しいドメインと一致せず、認証そのものが成立しません。リアルタイムフィッシングは「ユーザーが入力したOTPを盗んで正規サイトに転記する」手口ですが、パスキーには転記できる文字列のOTPが存在しないため、この手口が通用しません。フィッシング耐性を持つ点で、パスキーは現時点で最も安全な認証方式の一つです。
-
QSMS認証はやめたほうがいいですか?
-
A
SMS認証は「やらないよりは遥かに良い」ですが、より安全な方式が選べるならそちらを推奨します。SMS認証はSIMスワップ(電話番号の乗っ取り)やSMS傍受のリスクがあるため、特に金融取引や暗号資産など高価値なアカウントでは認証アプリやパスキーを使うべきです。SMSしか選べないサービスでは、SMS認証を設定した上で、SIMスワップ対策として携帯キャリアに本人確認の強化を依頼するとよいでしょう。重要なのは、何らかの二要素認証を必ず設定することです。
-
Q2要素認証回避とSIMスワップの違いは何ですか?
-
A
SIMスワップは2要素認証回避の一手口です。2要素認証回避は、二要素認証を突破する攻撃全般を指す広い概念で、リアルタイムフィッシング・マルウェア・SIMスワップなど様々な手口を含みます。SIMスワップはその中の一つで、携帯電話番号を不正に自分のSIMに移して、SMSで届くワンタイムパスワードを受信する手口です。2要素認証回避が大きなカテゴリで、SIMスワップはSMS認証を狙う具体的な手口の一つだと理解してください。
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| ゼロデイ攻撃 | ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見されてから修正パッチが配布される前の「0日目」に行われる攻撃で、防御側が準備できていない状態を突く。 |
| AIチャットボット詐欺 | AIチャットボット詐欺とは、人間らしく自然に会話する生成AIを悪用し、カスタマーサポートや投資アドバイザーを装って個人情報や金銭をだまし取る詐欺のことだ。 |
| シビル攻撃 | シビル攻撃とは、攻撃者がP2Pネットワーク上に大量の偽IDや偽ノードを作成し、多数決のような仕組みを支配して不正な影響力を行使する攻撃のことだ。 |
| ビジネスメール詐欺 | ビジネスメール詐欺(BEC)とは、取引先や自社のCEOになりすました偽メールで、振込先口座の変更を指示するなどして企業の担当者に犯人の口座へ送金させる詐欺のことだ。 |
この手口が実際に使われた事件
| 事件 | この記事との関連 |
|---|---|
| ホテル従業員のカード不正利用 | ホテルのインサイダー詐欺とは、 コンシェルジュやフロントスタッフなどの従業員が、業務上アクセスできる顧客のクレジットカード情報を盗み不正利用する 内部犯行である |
| ケビン・ミトニック | ケビン・ミトニックは ソーシャルエンジニアリング (人間の心理を利用した情報窃取)を武器に、DEC、パシフィック・ベル、モトローラ、ノキアなど大企業のシステムに侵入した伝説のハッカーである |
| オレオレ詐欺のリーダー格 | オレオレ詐欺の組織は 主犯格を頂点としたピラミッド構造 で運営される。主犯格は犯罪の実行に直接関わらないため捕まりにくく、暴力団関係者であることも多い |
コメント