ネットバンキングや電子商取引(EC)サイト、メールサービスへの不正ログイン被害が増加の一途をたどっている。警察庁が2019年12月、ネットバンキングの不正送金被害が過去最多を更新したと発表した。

関連記事:ネットバンキングの不正送金被害が11月も過去最多を更新、警察庁が注意喚起

 不正ログインの攻撃手法としてよく知られるのが「リスト型攻撃」だ。攻撃者が別のサービスから流出したIDとパスワードを使って、不正ログインを試みる攻撃。ユーザーが同じIDとパスワードを使い回していると不正ログインされてしまう。

 これに対抗するため、IDとパスワードの組み合わせに加えて、スマートフォンにSMSで送る認証コードや、スマホアプリやトークンを使ったワンタイムパスワード(OTP)を認証に利用するサービスが増えている。

 ところが、そうした多要素認証を突破する不正ログイン被害が発生した。2019年12月以降、NTTデータやトレンドマイクロがフィッシングによって認証コードやOTPを詐取されると注意を呼びかけている。

関連記事:「組織への恐喝が目立つ年に」、NTTデータが2019年のサイバー攻撃を総括
関連記事:「常識が覆された」、トレンドマイクロが2019年のサイバー攻撃を総括

 多要素認証のサービスまでフィッシングによって不正ログインされてしまうと、ユーザー側に対抗する手段があるのだろうか。

 多要素認証を狙うフィッシングの仕組みや、専門家に聞いた対策、筆者が実践している「チート」を紹介しよう。チートとは制作者が意図しない操作で想定外の結果を出す行為のこと。チートでフィッシング攻撃者の裏をかく。

複数の認証要素を使う認証

 多要素認証とは、「記憶」「所持」「生体」の3つの認証要素から、2つ以上を利用する認証方法を指す。ユーザーが覚えておくIDとパスワードの組み合わせは、記憶に当たる。

 所持は、ユーザーのスマホやサービス事業者が提供する乱数表やトークンを使う。前述の認証コードやOTPはこれに当たる。もう1つの生体は、ユーザーの指紋や虹彩を使う。

 多要素認証が大きくクローズアップされたのは、2017年に改訂された米国の国立標準技術研究所(NIST)のセキュリティー基準SP800-63で、多認証要素が推奨されたからだ。日本の中央省庁や公的機関の基準も、これに追随した。

 こうした影響もあり、多くのサービスが記憶ベースのIDとパスワードに加えて、別の認証要素を使うようになった。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら