みなさんはフィッシング攻撃による認証情報の盗難対策ができているでしょうか? IPAが公開している「情報セキュリティ10大脅威 2024」の個人向け脅威として6年連続でランクインしているのが「フィッシングによる個人情報等の詐取」です。フィッシングを簡単に説明すると、URLがよく似た偽サイトに誘導して、個人情報・認証情報などを奪う攻撃手法です。盗んだ認証情報でWebサービスなどにログインし、不正送金などで金銭を得るような被害が後を絶たちません。フィッシング攻撃の対策として、MFA (多要素認証) を設定するのも有効な方法の一つです。しかし、近年はユーザーを騙してMFAを実行させて、認証情報やセッション情報を盗む攻撃によりMFAが突破されるケースも出てきています。では、どのようなMFAがフィッシングに耐性があると言えるのか? イメージを交えながら説明します。
高度化するフィッシング攻撃
すでにフィッシング攻撃対策として、時間ベースのワンタイムパスワード (TOTP) やSMSなどを利用した従来のMFAを導入している方も多いと思います。しかし、攻撃手法の高度化により、MFAが突破されるようなケースも見受けられるようになっています。下記のイメージを用いて説明していきます。
攻撃者は正規サイトとの間に中継サーバーとして動作する偽サイト (フィッシングサイト) を準備し、ユーザーに偽サイトへ誘導するメールを送信します。
ユーザーは偽サイト「login.yubi0n.com」にアクセスし、ログイン情報 (ID / パスワード) を入力します。
ログイン情報を受け取った偽サイトは正規サイト「login.yubion.com」にログイン情報を転送します。 ※偽サイトはユーザーと正規サイトとの通信を中継しているだけなので、ユーザーは正規サイトでログイン操作をしているように感じます。
正規サイトはMFAを要求します。 ここでは、SMSで認証コードを送信し、ユーザーに入力を求めます。
ユーザーはMFA要求に応えます。 ここでは、受信した認証コードを偽サイトに入力します。
MFA情報を受け取った偽サイトは正規サイトにMFA情報を転送します。
正規サイトはMFA情報が正しければ、ログイン成功のセッションを返します。
※このとき、ユーザーはいつも通り正規サイトにログインしたように感じ、情報が抜き取られていることに気づきません。
攻撃者は偽サイトから取得したセッション情報を利用して正規サイトを利用します。
このようにMFAを設定していたとしても、中間者攻撃タイプのフィッシングにより、認証情報、セッション情報が盗まれ、不正にアクセスされる可能性があります。では、MFAではフィッシングを防ぐことができないのでしょうか?
実は、「パスキー」を用いたMFAでフィッシングを防ぐことが可能です。大手携帯キャリアなどがパスキーに対応し始めたことから、知らず知らずのうちに使ったことがあるかもしれません。次はなぜパスキーがフィッシングに耐性があるのかを説明します。
フィッシング耐性のある「パスキー」
パスキーとは、パスワードに代わるかんたんで安全な認証方法です。FIDO (ファイド) と呼ばれる認証技術がベースとなっており、認証が求められた際は、スマートフォンなどを用いて、生体確認 (顔 / 指紋) または PIN入力をすることでログインします。また、パスキーはパスワードのように推測されることはなく、フィッシング攻撃に強い耐性を持っています。なぜフィッシング攻撃に強いのか? 先ほどと同様に中間者攻撃タイプのフィッシング攻撃のイメージを用いて解説します。
ユーザーに偽サイトへ誘導するメールを送信します。
ユーザーは偽サイト「login.yubi0n.com」にアクセスし、ログイン情報 (ID) を入力します。
ログイン情報を受け取った偽サイトは正規サイト(「login.yubion.com」)にログイン情報を転送します。
正規サイトはMFAを要求します。 ここではパスキーによるMFAを要求します。FIDOによる認証シーケンスの詳細はこちらを参照してください。
パスキーによるMFA要求を受けたユーザーのスマートフォン側では、機械的にドメイン名 (URL) が正しいことをチェックします。
→事前に正規サイト「login.yubion.com」でMFAの登録をしたスマートフォンを用いて、偽サイト「login.yubi0n.com」でMFA要求を行った場合、ドメイン名が異なるため、認証情報を返すことはありません。(ここでは、小文字のoと数字の0が異なる)
偽サイトではMFAの応答を返すことなく、ログインが失敗します。
このようにパスキーでのMFAであれば、ドメインチェックの仕組みにより偽サイトで認証情報を返すことなく、フィッシング攻撃による認証情報の盗難を防ぐことができます。パスキーでの認証はスマートフォンなどを取り出し生体認証 (顔 / 指紋) または PIN入力するだけで、かんたん、かつ、安全にログインすることが可能です。利用しているWebサービス / アプリケーションがパスキーに対応している場合は使用してみることをおすすめします。
ただ、パスキーを使いたいんだけど、会社では私用のスマートフォンが使えない、というケースも
あると思います。そのような場合はFIDO認証に対応した「セキュリティキー」が利用できます。弊社はセキュリティキーの販売代理店をしているため、弊社で取り扱いのあるFIDO対応のセキュリティキーについて少しご紹介します。
FIDO対応のセキュリティキー
パスキーのログインでは、スマートフォンの他に、FIDOの最新仕様であるFIDO2に対応した「セキュリティキー」を利用することができます。ただし、利用するサービスによってはセキュリティキーの使用には対応していない場合もあるため、サービス側のMFA説明ページでセキュリティキーが使用できることをご確認ください。
下記は弊社で取り扱いのあるFIDO2対応のセキュリティキーの一覧です。
セキュリティキーには認証時にPINコード入力を求める(生体項目にチェックなし)ものと、生体を確認するものがあります(生体項目にチェックあり)。PIN入力タイプと生体確認タイプどちらを利用するかについては、ご利用シーンに応じて選択していただければと思います。また、USBの形状別に取り揃えており、NFC、BLEに対応したモデルも販売しています。ご購入の際はAmazonにてお買い求めください。なお大量購入時は弊社までお問い合わせください。
ご購入したセキュリティキーは初期設定 (PIN / 生体)が必要になります。
下記の記事を参考にセットアップを行ってください。
Windows端末をお持ちの方
macOSまたはLinux(GUI)端末をご利用の方
最後に
パスキーによるMFAがフィッシングに強い理由をご理解いただけたかと思います。今後、パスキーが広く普及し、多くの人々にとってパスキーの利用が当たり前となる時代がくるかもしれません。今回はWebサービスを中心にパスキーでのMFA利用を説明しました。YubiOnでは、PC端末のログオン時にパスキーを利用したMFAを導入するソリューションもございます。無料でお試しすることこも可能ですので、ぜひ一度ご利用していただければと思います。