みなさんは何かのサイトやアプリに登録したりログインしたりする際、「2要素認証」を要求されたことはないだろうか。例えばローマ字と数字、記号を組み合わせたパスワードに加えて、電話番号などに数字だけのワンタイムパスワードがSMSに届くあれだ。さぞ安全性が高まっているシステムなのかと思っていたが、ハッカーからすれば“何の意味もない”と専門家は指摘する。一体どういうことなのだろうか。
2要素認証はまさかの“その場しのぎ”
SNS利用時なども当たり前のように2要素認証を使用しているのではないだろうか
冒頭からなんとも恐ろしい事実をお伝えしてしまったが、2要素認証の安全性が薄いことに関して、詳しく紹介していきたい。
そもそも2要素認証とは、サイトやアプリなどのアクセス権限を得るために必要な本人認証で、「知識要素」や「所有要素」「生体要素」から2つの要素を求められる認証方法のこと。もちろん2つ以上の場合もあるが、素人からすると2つも関門があればセキュリティは十分ではないかとも思ってしまう。
ところが企業向けのパスワードレス認証技術を手がけるDouble Octopusによれば「2要素認証を用いたログイン方法はその場しのぎの対処法にしかすぎない」のだという。さらに恐ろしいことに、そもそも“パスワード”を用いることさえも基本的に安全とはいえないのだとか。
その理由の1つには、ユーザーが正規サイトに通信する際、仲介して情報を盗み取るフィッシングツール「Necro browser」の存在があるといい、複雑な設定も必要なくパスワードと2要素認証用の認証コードの両方を自動的かつリアルタイムで盗めてしまうそう。偽サイトでのフィッシングは注意喚起が広がっているが、正規サイトに接続している時に情報漏洩に気を配っている人は少ないだろう。
また、2要素認証を要求するサイトやアプリなどのシステムをハッキングして侵入したハッカーが、ユーザーアカウントに紐づけられている電話番号を別の番号に変更する場合もあるという。つまり、登録ユーザー=被害者にはワンタイムパスワードが届かず、ハッカーの手元に直接送られてくるといった具合だ。
正規サイトになりすましてフィッシングするハッカーも絶えない
ネット上ではユーザーの様々な反応が飛び交った。「パスワードレス…どうやるんだろ…」などの声も多く、「非ITだとパスワードとパスコードの違いすら分かっていないユーザーも多いのに、セキュリティはどんどん発展していくから本当に困る」と、セキュリティ技術の発展に追いついていない現場のリテラシーを嘆く声も聞こえてきた。
一方で「パスワードを手放すとしたら、アプリ認証になるのかな?トークンかな?」「Googleとかも勧めている物理キー(暗号が入ったUSB)が普及すると思うんだけどなぁ」といった今後のデジタル技術の進化の方向性を想像するユーザーも少なくなかった。
2つの要素による認証を設定していても、それを突破する技術が即座に編み出されてしまう現代のテクノロジーの進化のスピードに、しっかりと追いついていけるかが今後のビジネスの現場でも求められるスキルとなりそうだ。
今後、どんな高度な技術を持った悪意あるハッカーすらも撃退できる“完璧なシステム”は世の中に普及するのだろうか…?一日も早い普及を願うばかりだ。
参照元:電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない【GIGAZINE】
