2要素認証は、あなたが思っているほど万能な盾ではない
2要素認証を有効にした。それは素晴らしい一歩だ。
ほとんどのセキュリティガイドが見落としていることが一つある。過去3年間の大規模なアカウント窃盗の多くは、コードを解読したわけではない。攻撃者は、あなたにコードを渡させる方法を見つけるか、そのステップ自体を無効化する方法を見つけ出したのだ。
攻撃者が2FAを回避する主な3つの方法は以下の通りだ:
- MFA Fatigue 攻撃者は盗んだユーザー名とパスワードを使用して、プッシュ通知をトリガーする。彼らは一晩のうちに数十件ものリクエストを送りつける。ほとんどの人は、通知音を止めるためだけに「承認」をタップしてしまう。これにより、攻撃者に有効なセッションを与えてしまうことになる。Uberは2022年にこの被害に遭った。
- 解決策:ナンバーマッチングを有効にする。画面に表示されたコードをアプリに入力する必要がある。これにより、無意識な承認を防ぐことができる。
- Adversary-in-the-Middle (AiTM) 攻撃者が偽のログインページを用意する。あなたがログインすると、プロキシがあなたの詳細情報を本物のサイトに送信する。本物のサイトは2FAの認証要求を送信し、プロキシがその要求をあなたに転送する。あなたがコードを入力すると、プロキシはセッションクッキーを盗み取る。これで攻撃者はあなたのアカウントを掌握することになる。
- 解決策:passkeysまたはハードウェアセキュリティキーを使用する。これらは本物のウェブサイトのドメインに紐付けられた暗号技術を使用しているため、プロキシで欺くことはできない。
- SIM Swapping 攻撃者があなたの携帯電話キャリアに電話をかける。彼らはあなたになりすまし、電話番号を自分のSIMカードに移し替える。これで、すべてのSMSコードが攻撃者の元に届くようになる。
- 解決策:重要な用途にSMSを使用するのをやめる。Google AuthenticatorやAuthyなどの認証アプリを使用する。これらはデバイス上でコードを生成するため、SIMスワップによって傍受されることはない。
セキュリティ手法の比較:
• SMS OTP: クレデンシャルスタッフィングのみを防ぐ。 • Authenticator App: クレデンシャルスタッフィングとSIMスワップを防ぐ。 • Standard Push: クレデンシャルスタッフィングとSIMスワップを防ぐ。 • Push with Number Matching: クレデンシャルスタッフィング、プッシュボミング、およびSIMスワップを防ぐ。 • Hardware Key / Passkey: すべてを防ぐ。
フィッシング耐性のあるMFA(Phishing-resistant MFA)が目標だ。ハードウェアキーやpasskeysは、あなたが本物のウェブサイトにいることを証明する。盗むべきコード自体が存在しないのだ。
アカウントを保護するために、以下のステップを実行しよう:
- 今週:金融系アカウントからSMSによる2FAを解除する。認証アプリに切り替える。
- 今月:プッシュ通知アプリでナンバーマッチングを有効にする。
- 準備ができたら:メールやパスワードマネージャー用にハードウェアキーを購入する。
2025年の脅威に対して、2019年のセキュリティを使用しないでください。
実際の侵害事例を含む詳細な解説:https://lucas8.com/mfa-fatigue-attack-two-factor-bypass