「2要素認証を実装する。」 これは注目を浴びるようなフィッシング攻撃がニュースになる時、世界中のサイバーセキュリティの専門家が与える助言です。2要素認証 (2FA) は企業が採用すべき二次セキュリティの正当な方法であることは事実ですが、あなたが思うほど完全なものではありません。サイバー犯罪者は、しばしば専門家の一歩先を行き、2FAについてもすでに学んでいます。
2FAの背後にあるテクノロジー
2FAは、ユーザーを2つの異なる方法で認証するプロセスです。例えば、ユーザー名/パスワードの組み合わせと、もう一つ別の方法。1つの例は、ATMでの現金の引き出しです。暗証番号 (PIN) と物理的なキャッシュカードが必要です。多くの金融機関のウェブサイトが2要素認証を採用しており、ユーザーは、クッキーがブラウザに置かれていない限り、伝えられた暗証番号で認証を行う必要があります。この暗証番号は、メールやテキストメッセージ、音声通話などによって伝えることができます。
さらに、Yubikeyなどのハードウェアデバイスもあります。これはコンピュータにプラグインし、ユーザーがプラグインキーのボタンをクリックするとハッシュ化されたワンタイムパスコード (OTP) を送信するUSBデバイスです。このハッシュを使用するには、認証サービスを設定する必要がありますが、そのための幅広いサポートがあり、統合コードはオープンソースです。MicrosoftはこれをすべてのOffice 365ウェブサービス用の2FAパスとして提供しています。
もう一つのキーの形式は、パスフレーズがローテーションするキーです。これはサーバーに同期され、一人のユーザーに登録されたソフトウェアまたはハードウェアデバイスです。デバイスが、ユーザーパスワードの末尾に加える、ローテーションする2桁以上のコードを発行します。組み合わされたコードの受信者は、パスフレーズを2つの部分に分割し、認証サーバーに対してコードを認証します。この外部パスフレーズは、ログインに使用するワンタイムコードの付いたテキストメッセージを受信するのと同じアイデアです。
2FAのメリットは明らかです。トランザクションやアカウントに追加のセキュリティレイヤーを加えることは、ハッキングを試みる者がアカウントにアクセスするためには両方のキーが必要になることを意味します。前述のATMの例のように、カードが盗まれた場合や、紛失した場合、暗証番号の2FAがなければ、悪意のある人があなたの銀行口座を簡単に空にしてしまうことができます。同様に、あなたのパスワードを所有しているものの、2FAキーを知らない悪意のあるユーザーは、あなたのメールアカウントにアクセスして乗っ取り、これらのデータを使用して銀行や他のサービスにアクセスすることはできません。
2FAの限界
2FAプロセスの一番大きな欠点は、トランザクションの何らかの設定が必要になることです。例えば、2FAが必要なVPNサービスを利用する場合、確立するセッションは、接続を解除するまで認証が継続します。保険会社のウェブサイトにアクセスするためにVPNサービスを利用する場合、サーバーに対してユーザーを識別する情報が、セッションクッキーに含まれます。一度ログアウトして、クッキーを消去すると、再認証が必要になります。この設定では、これは欠点とはなりませんが、モバイルデバイスを使用してメールにアクセスする場合などは、メールをチェックしたりメッセージを送信したりするために、毎回2FAメソッドを使用するのはきわめて不便です。
2FAの重大な欠点は、いかなる認証方法も、それに置かれる信頼を上回るほど強力ではないことです。ユーザーが銀行口座にログインするよう求めるフィッシングメッセージを受け取り、そのフィッシングメールに実際の銀行に見えるように作られた中継サイトへのリンクが含まれている場合、ユーザーはフィッシングサイトに移動して、ユーザー名とパスワードの他に2FAデータも入力することになります。フィッシングサイトは、その後2つの要素を利用して、ユーザーとして金融機関にログインします。ユーザーがフィッシングサイトを「信頼」したために、彼らは自分の認証情報を提供し、2つめの要素を無用のものにしてしまったのです。
セキュリティコンサルタントで元ハッカーのケヴィン・ミトニックは最近、セッションクッキーに2FAデータを記録する方法を示しました。フィッシングの被害者が2FAコードをウェブサイトに追加すると、ハッカーはChromeなどのウェブブラウザの開発者用ツールからセッションクッキーを手に入れることができます。セッションクッキーがあれば、ハッカーは被害者のユーザー名とパスワードは必要ありません。セッションクッキーをブラウザにペーストして、被害者のアカウントにログインすればいいだけです。
さらにより危険なのは、これまでに築かれている間違った安心感です。フィッシング攻撃は、心理操作が作用するため、成功率が高くなります。2FAなどの、よく知られている、非常に話題になっている方法を用いることで、ハッカーは被害者が個人情報を引き渡すように心理操作すると同時に、安心感を与えて油断させます。
2要素認証によって、さまざまな用途にセキュリティレイヤーを追加することができますが、それだけでは十分ではありません。ターゲット化されたフィッシング攻撃を検出するためのマシーンラーニングや、一度フィルターをすり抜けた脅威を自動的に再分類する自動修復機能などのAIを使用するVade for Office 365を実装することで、エンドユーザーは潜在的に高額な費用のかかる脅威から保護されます。
