コンテンツにスキップ
モバイル デバイスのセキュリティ。銀行、金融、保険(業界)

イラスト:

カジノサイト

SMS 認証の代替手段を探しています

ミーガン・ゲイツ著
2020 年 1 月 1 日

印刷問題:2020 年 1 月

I

これは多くのログイン プロセスで一般的になってきています。ユーザーがログインを完了するには、パスワードと追加の認証子が必要です。これは、一般にテキスト メッセージとして知られるショート メッセージ サービス (SMS) 経由で携帯電話に送信されるコードの形式で送信されることがよくあります。次にユーザーは、アクセスしようとしている Web アカウントにそのコードを入力し、ログインします。

人々はフィッシング攻撃の成功を防ぐためにこの認証方法を使い始めました。攻撃者が侵入しようとしているアカウントにアクセスするには、パスワードに加えて、SMS 経由で送信されたコードが必要になります。

この予防策は多くの場合に成功しています。 2019 年 5 月、Google はアカウントに再設定用の電話番号を追加することで、悪意のある攻撃者がそれらのアカウントにアクセスするのをどのように防ぐことができるかについての新しい調査結果を発表しました。

「再設定用の電話番号に送信された SMS コードが、自動ボットの 100 パーセント、大規模なフィッシング攻撃の 96 パーセント、標的型攻撃の 76 パーセントをブロックするのに役立つことがわかりました」と研究者のカート トーマスとアンジェリカ モシツキは、「SMS に代わるより安全なデバイス上のプロンプトは、自動化されたボットの 100 パーセント、大量のフィッシング攻撃の 99 パーセント、標的型攻撃の 90 パーセントを防ぐのに役立ちました。

しかし、2019 年 9 月 17 日、サイバーセキュリティ専門家に対し、サイバー攻撃者がソーシャル エンジニアリングや技術的攻撃を通じて多要素認証を回避しているのを同局が確認したと警告する民間産業通知 (PIN) を発行しました。

当局は、これらの攻撃者が一般的な多要素認証技術を使用してワンタイム パスコードを取得し、保護されたアカウントにアクセスしたと述べました。

この警告は、2016 年に悪意のある攻撃者が米国の銀行機関の顧客を標的にした事件を同局が認識したことに由来しています。攻撃者は、SIM スワッピングと呼ばれる、自分が所有し、操作していた携帯電話に自分の電話番号を移植しました。

「攻撃者は電話会社の顧客サービス担当者に電話をかけ、SIM 交換を完了するための情報を提供してくれる人を見つけた」と FBI は述べています。 「攻撃者は顧客の電話番号を掌握すると、銀行に電話して、被害者の口座から自分が所有する別の口座への電信送金を要求しました。」

銀行は、攻撃者が顧客の電話番号から電話をかけていると認識したため、完全な秘密の質問は行わず、代わりに攻撃者の電話番号にテキストメッセージで送信するワンタイムコードを要求しました。

攻撃者は「PIN とパスワードの変更を要求し、被害者のクレジット カード番号をモバイル決済アプリケーションに添付することができた」と同局は述べた。

その後 2 年間で、FBI は 2 要素認証を回避するための SIM 交換に関する苦情の増加を確認しました。

「これらの攻撃の被害者は、電話番号を盗まれ、銀行口座が流出し、パスワードと暗証番号が変更されました」と同局は説明した。 「これらの攻撃の多くは、攻撃者に情報を提供する大手電話会社のソーシャル エンジニアリング カスタマー サービス担当者に依存しています。」

局の警告に加えて、サイバーセキュリティ会社また、二要素認証 (2FA) に使用される SMS の傍受の脅威が増大していることも強調しました。同社は最初の 2019 年モバイル脅威レポートで、このタイプの傍受が最も蔓延していると説明しました。

「受信チャレンジ メッセージのなりすましの容易さや、シグナリング システム 7 (SS7) 電気通信規格に対するメッセージ傍受攻撃など、SMS の安全性の問題により、オンライン サービスは現在、他の 2FA メカニズムを採用し始めています。」と報告書は述べています。

FBI の報道官は、FBI は通知についてコメントしないと述べたが、PIN には多要素認証の迂回を防ぐためのいくつかの緩和戦略が含まれていた。

同局は、ソーシャル エンジニアリングの「トリック、つまり偽の Web サイトを見分ける方法、電子メール内の不正なリンクをクリックしない方法、またはそれらのリンクを完全にブロックする方法」を特定するようユーザーと管理者を教育することを推奨しました。

また、生体認証や行動認証方法など、追加またはより複雑な形式の多要素認証をユーザーと管理者に使用することも提案しました。

局が強調した攻撃方法である SIM スワッピングは、国立標準技術研究所 () は、二要素認証方法として SMS をダウングレードしようとしました。その後、同社は立場を変更し、SMS は低レベルのアカウントには許容されるが、企業財務などの高レベルのアカウントにアクセスするためにユーザーが自分自身を認証するために依存すべきではないと述べました。

「SMS メッセージングは暗号化されていないため、いかなる使用も安全ではありません」とモバイル ワークスペース ソリューション プロバイダー SyncDog の最高技術責任者である Clay Miller 氏は言います。 「デバイスは盗難に遭いやすいです。SIM カードはなりすますことができます。偽の番号を送受信できるクラウド サーバーをセットアップすることができます。」

これらの抜け穴があるため、セキュリティ専門家はユーザーがアカウントにログインするために他の形式の多要素認証を実装することを推奨しています。たとえば、SIM スワップや SMS 攻撃の影響を受けにくい、RSA や Google が販売するような生体認証やセキュリティ キーを使用することを推奨しています。

ミラー氏は、「特に規制対象の金融機関や医療提供者について話している場合には」、企業アカウントにアクセスするためにこの種の多要素認証を使用することを経営幹部やその他の人々に要求する傾向が見られると述べています。

欧州連合の一般データ保護規則 (GDPR) に基づく規制当局の監視が強化されているため、将来的にはこれに対する動きがさらに強まる可能性があると彼は付け加えました。

「場合によっては、機密情報を使用するユーザーが自分のアカウントにアクセスする方法についてポリシーを制定する必要があるという、より組織的な推進が必要になる可能性があります。」とミラー氏は付け加えました。

犯罪者が新しい攻撃方法を通じて多要素認証を侵害する可能性が高まっているため、これは特に重要になる可能性があります。

たとえば、2019 年 5 月、セキュリティ コンサルタントの Antisnatchor (Michele Orrù) と Giuseppe Trotta で構成される Muraena チームは、資格情報フィッシングを自動化するツールである Muraena と NecroBrowser をリリースしました。

「これは、資格情報とセッション Cookie をキャプチャする透過的なリバース プロキシ ソリューションとして機能する Muraena によって実現されます。」 によるブログ投稿によると' 光子研究チーム。ユーザーがこれらの本物のセッションを閉じようとすると、Muraena はユーザーの知らないうちにセッションを開いたままにし、収集した情報を使用してユーザーになりすまし、追加データの抽出を許可し、攻撃者に代わってその他のアクションを実行することができます。

これらのエクスプロイトが存在するにもかかわらず、専門家は、悪意のある攻撃者が自分のアカウントにアクセスするのを防ぐために、ユーザーは SMS を含む多要素認証を引き続き採用する必要があると述べています。サイバーセキュリティ会社コフェンスのセキュリティ ソリューション アドバイザーであり、National Cybersecurity Alliance の理事でもある CISSP のトニア ダドリー氏は、特に電子メール、銀行、ソーシャル メディア アカウントに関しては、これを実行する方が良いと述べています。

「twofactorauth.org という Web サイトがあり、Web サイトと 2 要素認証を有効にする手順がリストされています」と彼女は言います。 「Web サイトやアプリごとに異なるものがある可能性があります。テキストや Verisign アカウントを使用できるものもありますが、オプションが 1 つしかない場合もあります。それを有効にすることは良い考えです。」

arrow_upward