Malwarebytesは9月14日(米国時間)、「Is two-factor authentication (2FA) as secure as it seems? - Malwarebytes Labs|Malwarebytes Labs」において2要素認証の有効性と、2要素認証を回避する攻撃方法およびその対策方法などを伝えた。2要素認証は安全性を高めるログイン方法として採用されるシーンが増えているが、2要素認証にも回避する攻撃方法が存在していることなどが紹介されている。
よく使われる2要素認証は、ユーザー名とパスワードを入力すると登録したスマートフォンにパスコードが送信されるもの。ユーザーは送信されたパスコードを入力することで、対象のWebサイトにログインできるようになる。2要素認証は多要素認証の簡単なものであり、扱いやすくセキュリティの向上も期待できる。
しかし、2要素認証には回避する攻撃方法も存在している。記事で取り上げられている攻撃方法は次のとおり。
- フィッシング詐欺ページを利用する。ユーザーに偽のログインページを表示し、ユーザーが入力したユーザ名とパスワードを攻撃者が本来のページに入力する。パスコードはユーザーに送られるが、攻撃者はユーザーが偽のページにパスコードを入力するのでパスコードを窃取することができ、替わりにログインできてしまう。
- 攻撃者がユーザーのメールアドレスにアクセスできる場合、パスワードリセットを使って設定を変更してしまう。
- ブルートフォース攻撃を実施してパスコードを見破ってしまう。
- 2要素認証にFacebookなどほかのサイトへのログインを利用している場合、Facebookなどのアカウントが漏れているとそのままログインを実施されてしまう。
2要素認証は完璧なものではなく、攻撃する方法が存在するが、ユーザー名とパスワードだけのログイン方法よりは安全だと説明がある。