SMSに届く認証番号の「2要素認証」はハッカーからすれば何の意味もない?! と専門家が指摘!

みなさんは何かのサイトやアプリに登録したりログインしたりする際、「2要素認証」を要求されたことはないだろうか。例えばローマ字と数字、記号を組み合わせたパスワードに加えて、電話番号などに数字だけのワンタイムパスワードがSMSに届くあれだ。さぞ安全性が高まっているシステムなのかと思っていたが、ハッカーからすれば“何の意味もない”と専門家は指摘する。一体どういうことなのだろうか。

2要素認証はまさかの“その場しのぎ”

2要素認証を使用していイメージシーン

SNS利用時なども当たり前のように2要素認証を使用しているのではないだろうか

冒頭からなんとも恐ろしい事実をお伝えしてしまったが、2要素認証の安全性が薄いことに関して、詳しく紹介していきたい。

そもそも2要素認証とは、サイトやアプリなどのアクセス権限を得るために必要な本人認証で、「知識要素」や「所有要素」「生体要素」から2つの要素を求められる認証方法のこと。もちろん2つ以上の場合もあるが、素人からすると2つも関門があればセキュリティは十分ではないかとも思ってしまう。

ところが企業向けのパスワードレス認証技術を手がけるDouble Octopusによれば「2要素認証を用いたログイン方法はその場しのぎの対処法にしかすぎない」のだという。さらに恐ろしいことに、そもそも“パスワード”を用いることさえも基本的に安全とはいえないのだとか。

その理由の1つには、ユーザーが正規サイトに通信する際、仲介して情報を盗み取るフィッシングツール「Necro browser」の存在があるといい、複雑な設定も必要なくパスワードと2要素認証用の認証コードの両方を自動的かつリアルタイムで盗めてしまうそう。偽サイトでのフィッシングは注意喚起が広がっているが、正規サイトに接続している時に情報漏洩に気を配っている人は少ないだろう。

また、2要素認証を要求するサイトやアプリなどのシステムをハッキングして侵入したハッカーが、ユーザーアカウントに紐づけられている電話番号を別の番号に変更する場合もあるという。つまり、登録ユーザー=被害者にはワンタイムパスワードが届かず、ハッカーの手元に直接送られてくるといった具合だ。

SMSに届く認証番号の「2要素認証」はハッカーからすれば何の意味もない?! と専門家が指摘!のページです。オトナライフは、【スキル・ビジネス2要素認証パスワード情報漏洩】の最新ニュースをいち早くお届けします。