フィールディングEyeNECフィールディングがお届けする百花繚乱のコラム集

最新ITキーワード

2023年06月08日

第19回 『AiTM攻撃』

多要素認証を破る新手の攻撃

 サイバー攻撃は攻める側と守る側の「いたちごっこ」の連続である。

 かつてサービスを受ける時の本人確認(認証)はパスワードなど一種類だけで済ましていた。しかし、サイバー犯罪者などは巧みにパスワードを類推、あるいは盗んで本人になりすまし、被害をもたらすようになった。本人確認の認証手段が一種類(一段階、一要素)では甘かったのである。典型的だった事件は、コンビニ大手の電子マネーサービス。一段階認証でサービス開始当日から被害が発生し、数日でサービス停止に追い込まれた。

 その際により強固なセキュリティ対策として推奨されたのが、二種類(二段階)以上の多要素による認証である。しばらく功を奏していたのだが、どうやらこの多要素認証も一部で突破され、いまや危うい状況が生まれているようだ。

 米マイクロソフトは2022年、多要素認証のセキュリティを破る新たな攻撃(AiTM攻撃)が検知されたとして、警戒情報の通知を出した。AiTMはAdversary in the Middleの略で、「中間者攻撃」と訳される。当事者間の通信のやり取りの中間に割り込み、通信内容を盗み見て内容を書き換えたりして害を及ぼす。新種のサイバー犯罪である。

 犯罪が発覚したのはフィッシング詐欺の分野だ。AiTMフィッシングと呼ぶ。

 まず偽のメールを正規のユーザーに送って偽サイトに誘導する。パスワードを偽サイトに入力させ、今度は偽サイトが本人のふりをしてこれを本物のサイトに入力してログイン。本物のサイトは次に二番目の認証を要求してスマホなどにワンタイムパスワードなどを送る。偽サイトはその要求への回答を正規のユーザーのスマホなどに送信する。正規のユーザーはワンタイムパスワードを偽サイトに入力し、偽サイトはこれを使って本物のサイトへの不正ログインに成功する。大雑把にはこんな流れのようだ。

AiTM攻撃

 正規のユーザーと本物のサイトの間に割り込んで必要なログイン情報を盗み取り、このタイプの二要素認証を突破する。正規のユーザーは騙されたことを認識しないうちに、なりすましの被害が発生している。

 AiTMフィッシングの犯罪を警告したマイクロソフトによると、2021年9月からの約1年間で1万以上の組織が標的にされているという。

 もっとも、多要素認証もいろいろな種類がある。指紋や掌紋、顔認証などの生体認証との組み合わせも広く使われている。段階を踏むのではなく、同時に複数の認証情報を別ルートで送る、という手法では今回のような突破の方法は使えない。ちょっと安心するが、とはいえ、安心できるのは少しの間だけかもしれない。いずれはそこをも突破するサイバー攻撃が現れる、というリスクは消えない。

 目下の問題は、すでに広まっている多要素認証が突破され、フィッシング詐欺が出現したことである。この詐欺にかからないように本人確認の手順の際に不審なことがないか、十分に警戒しなければならない。警報が鳴っていることを忘れてはならない。

プロフィール
文=
中島 洋[Nakajima Hiroshi]
株式会社MM総研 特別顧問

1947年生まれ。日本経済新聞社でハイテク分野などを担当。日経マグロウヒル社(現・日経BP社)では『日経コンピュータ』『日経パソコン』の創刊に関わる。2003年、MM総研の代表取締役所長に就任、2019年7月から同社特別顧問。

コラム「フィールディングEye」へ戻る