Malwarebytesは1月21日(米国時間)、「Has two-factor authentication been defeated? A spotlight on 2FA’s latest challenge - Malwarebytes Labs|Malwarebytes Labs」において、2018年末頃から2要素認証が破られたというニュースが続いているため、2要素認証を突破されないための対策を紹介した。

2要素認証はパスワード認証のみよりも安全と言われているが、すでに回避する方法がいくつも発見されている。記事では、2019年に入ってからポーランドのセキュリティ研究者Piotr Duszyński氏によって発表された、2要素認証を回避する手法「Modlishka」を紹介している。

「Modlishka」は偽のWebページと本物のWebページの間で動作するリバース・プロキシ・ソフトウェア。偽サイトに入力されるアカウントデータなどをリアルタイムで本物のサイトに送信し、その結果を逆にユーザーに返すという動作を行う。このように動作することで、ユーザーが入力するアカウントデータも、もう1つの認証データも得ることができ、攻撃者は正規のサイトへのアクセス可能になるという。

  • Malwarebytes was founded on the belief that you and everyone have a fundamental right to a malware-free existence.

    Modlishkaの動作サンプル - 資料: Malwarebytes

記事では、2要素認証が破られることを回避するために、次のような対策を取ることを推奨めている。

  • Webブラウザのアドレスバーに表示されるカギのアイコンの色だけで判断せずに、必ずアドレスバーのURLを確認する
  • 認証アプリや生体認証など、別の認証の利用を検討する
  • アクセスログを定期的にチェックして、自分以外の誰かがログインしていないかを確認する
  • 電子メールを使って機密文書の交換を行わない(必要があればPGPを使うなどしてメッセージを暗号化する)
  • パスワードマネージャーを活用する
  • モバイルデバイスではサードパーティ製ストアからアプリをダウンロードしない
  • バッテリーの持ちを延ばすためのユーティリティアプリをインストールしない(注: こうしたアプリはマルウェアである可能性が高いためと見られる。バッテリーの持ちは使っていない機能を無効化するなど、設定の変更で延ばすことができる説明もされている)

記事では、2要素認証を破る方法はすでに複数知られているという事実を指摘しつつも、2要素認証の利用を停止することを勧めているわけではないと説明。2要素認証はパスワードだけの認証よりも安全性が高く、ユーザーは自分の習慣を見直すとともに、最新の情報を得て対応していくことを推奨している。