サイバーセキュリティ 
総務省は「地方公共団体における情報セキュリティポリシ
多要素認証(MFA)や2要素認証(2FA)、最低でも2段階認証を有効にすることは、サイバーセキュリティのベストプラクティスであり、これによりオンラインアカウントを不正アクセスから保護できます。
サイバー犯罪者が2段階認証や二要素認証(2FA)、多要素認証(MFA)を突破する方法はいくつかあり、実際に被害件数も年々増加しています。多要素認証には、2段階認証や2要素認証を含み、これがサイバー攻撃に対して弱い部分もあるため、犯罪者によって悪用されやすくなっています。しかし、オンラインアカウントを保護するためには、より安全な多要素認証の設定が効果的です。オンラインアカウントの乗っ取りを防ぐには、正しい多要素認証の選択が大切です。
ここでは、多要素認証MFAについて、サイバー犯罪者が使用する2段階認証や多要素認証を突破する手法、および2段階認証やに2要素認証、多要素認証を突破を防ぐ方法について、さらに詳しく説明します。
Keeperの無料トライアルで、パスワード管理をもっと簡単に。
安心・安全・便利を個人用30日間無料で体験しましょう
多要素認証(MFA)とは
多要素認証(MFA)とは、ユーザーがオンラインアカウントにアクセスするために、追加の認証を提供する必要があるセキュリティプロトコルです。 MFAが有効になっている場合、個々のユーザーは、ログイン認証情報に加えて別の認証情報を提供する必要があります。 MFAでは、ユーザーは少なくとも2つの異なる認証要素を提供する必要があります。 さまざまな種類の認証要素には、次のようなものがあります。
- 知識情報:この種の認証は、パスワード、セキュリティ質問への回答、PINなど、ユーザーが知っている情報に基づいて、身元を証明します。
- 所持情報:この種の認証は、セキュリティキーやワンタイムパスワード(OTP)など、ユーザーが物理的に持っているものに基づいて、身元を証明します。
- 生体認証:この種の認証は、顔認識用の顔など、ユーザー独自の生体特性に基づいて、身元を証明します。
MFAは、セキュリティレイヤーを追加し、オンラインアカウントを不正アクセスから保護します。 ユーザーのログイン認証情報が侵害されたとしても、サイバー犯罪者は追加の認証要素も取得していない限り、そのアカウントにアクセスすることはできません。
2段階認証や多要素認証が突破される原因とは
MFAは、オンラインアカウントをよりも優れた保護を提供しますが、完璧ではありません。 MFA方法の中には、サイバー犯罪者がさまざまな手法を使用して、2段階認証、2要素認証や多要素認証が突破できるものもあります。 サイバー犯罪者が2段階認証や多要素認証を突破するために使用する手法をご紹介します。
SIMスワッピング
SIMカードは、チップを含む小型のカードで、ユーザーがSMSや電話の送受信を行うことを可能にします。SIMスワッピングとは、サイバー犯罪者が誰かになりすまし、モバイルキャリアを騙して新しいSIMカードを有効にさせることです。 サイバー犯罪者は、ターゲットを調べて彼らになりすまし、モバイルキャリアを騙して新しいSIMカードが必要だと思わせます。 携帯電話を破損または紛失したが、新しい電話を持っており、それ用に新しいSIMカードが必要だと言います。
サイバー犯罪者は、新しいSIMカードを手に入れると、被害者のSMSや電話を受信できます。 サイバー犯罪者は、SIMスワッピングを使用して、SMS認証から被害者の2FAコードを受信し、オンラインアカウントにアクセスできるようになります。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、他人に何かをさせたり、個人情報を漏らしたりさせるために使用される心理的な操作です。 脅威アクターは、ターゲットを調べて、彼らに合わせた攻撃をします。 被害者がよくやり取りする会社など、被害者の身近な人間になりすまします。 脅威アクターは、フィッシングを使用してユーザーを騙し、個人情報を開示させるようにします。
2段階認証や多要素認証を突破するために、脅威アクターは、被害者の2FAコードを要求するメールやSMSを送信したり、それらのメッセージになりすましウェブサイトのリンクを張って、被害者のログイン認証情報と2FAコードを入力するよう促したりします。
メールアカウントの乗っ取り
アカウント乗っ取りとは、サイバー犯罪者が他人のオンラインアカウントに不正アクセスし、それを乗っ取る、個人情報盗難の一種です。 メールアカウントの乗っ取りとは、サイバー犯罪者が他人のメールアカウントを乗っ取るアカウント乗っ取りの一種です。 サイバー犯罪者は、ユーザーのアカウントへのアクセスを取得すると、ユーザーをロックアウトしてアクティビティを監視し、機密情報にアクセスして、ほかのアカウントを乗っ取り、ユーザーになりすまします。
ユーザーの中には、MFAの形式として、メールアカウントを介して2FAコードを受信するメール認証を選択するユーザーもいます。 サイバー犯罪者は、メールアカウントを乗っ取ることで、2FAコードを盗み、ほかのオンラインアカウントへのアクセスを試みます。
中間者攻撃
中間者(MITM)攻撃とは、サイバー犯罪者が2つの当事者間での送信データを傍受するサイバー攻撃の一種です。 サイバー犯罪者は、捏造されたWiFiネットワークや公共のWiFiネットワークを頼りにします。これらのネットワークは暗号化されていないため、サイバー犯罪者は接続されたインターネットトラフィックをすべて閲覧できるためです。 ユーザーが暗号化されていないWiFiネットワークに接続していると、サイバー犯罪者は送信データを盗聴、盗用、および改ざんできます。
サイバー犯罪者は、MITM攻撃を使用して、ユーザーのログイン認証情報と、メール認証など、インターネットで送信されるすべての2FAコードを傍受することで、2段階認証を突破します。 その後、サイバー犯罪者は、ログイン認証情報と2FAコードを使用してアカウントにアクセスします。
マルウェア
マルウェアとは、サイバー犯罪者がユーザーのデバイスを感染させ、機密情報を盗むために使用する悪意のあるソフトウェアです。 サイバー犯罪者は、フィッシング、なりすましウェブサイト、ドライブバイダウンロード、エクスプロイトキット、マルバタイジング、トロイの木馬など、さまざまな方法を使用してユーザーのデバイスを感染させます。 サイバー犯罪者は、マルウェアをインストールすると、それを使用してファイルをスパイしたり破壊したり、センシティブデータを盗んだり、デバイスにダメージを与えたり、デバイスを操作したりできるようになります。
サイバー犯罪者は、マルウェアを使用して二段階認証を突破できます。 マルウェアがデバイスにインストールされると、サイバー犯罪者は、そのデバイスに保存されている2FAコードを制御し、アクセスできるようになります。
2段階認証、2FA、MFAの突破を防ぐ対策と方法
ユーザーは、安全なMFAの方法を使用し、サイバーセキュリティのベストプラクティスに従うことで、2段階認証や多要素認証の突破を防ぐことができます。
ここでは、その二段階認証や多要素認証をはじめとした、突破を防ぐ方法を詳しくご紹介します。
MFAに認証アプリを使用する
認証アプリは、MFAの追加の認証方法として使用されているアプリケーションです。 これは、ユーザーのデバイスで、時間ベースのワンタイムパスワード(TOTP)をローカルに生成します。 TOTPは、30~60秒間持続します。 TOTPの有効期限が切れた後、認証アプリは、シークレットアルゴリズムに基づいて、新しくてユニークなTOTPコードを生成します。 ユーザーは、認証アプリがアカウントにログインするために生成したTOTPコードと一緒に、ログイン認証情報を使用します。
MFAをはじめ、2段階認証などの突破を防ぐために、ユーザーはSMSやメールによる認証の方法を避け、代わりに認証アプリを使用すべきです。 SMSとメールによる認証は、SIMスワッピングやMITM攻撃を使用するサイバー犯罪者によって簡単に傍受される可能性があります。 認証アプリは、インターネットでTOTPコードを送信するのではなく、ローカルで生成するため、はるかに安全であり、サイバー犯罪者が盗むのが困難です。
2FAコードの共有を避ける
サイバー犯罪者は、ソーシャルエンジニアリング攻撃を使用して、ユーザーを騙し、2FAコードを開示させて盗もうとします。 2FAコードを共有するよう促す迷惑メールは避けるべきです。 アカウントにログインしようとする際のみ、2FAコードを共有する必要があります。
セキュリティキーを使用する
セキュリティキーは、システム、アプリケーション、アカウントへのアクセスを提供する物理的な認証形式です。 これは、MFA認証のもう1つの形式として、よく使用されます。 セキュリティキーは、ユーザーが物理的に持っているものであるため、MFAの中で最も強力な形式の1つです。 ユーザーがセキュリティキーを物理的に所持しているため、サイバー犯罪者がそれを盗んでアカウントにアクセスすることは困難です。 セキュリティキーもまた、使い易いものです。 自分を認証するには、セキュリティキーをタップするか、デバイスに挿入するだけです。 しかし、セキュリティキーはどこでも受け入れられているわけではないため、可能な場所でセキュリティキーを使用することを選ぶ必要があります。
強力なパスワードでアカウントを保護する
サイバー犯罪者は、さまざまな手法を使用して、オンラインアカウントにアクセスできるMFAコードを盗みます。 しかし、強力でユニークなパスワードでそれを保護すると、2段階認証などのMFAを突破してオンラインアカウントにアクセスすることはできません。 強力なパスワードを使用することで、サイバー犯罪者がログイン認証情報を推測しにくくなり、2段階認証や多要素認証を突破する試みを防ぐことができます。
強力なパスワードとは、少なくとも16文字以上で、大文字、小文字、数字、特殊文字をユニークでランダムに組み合わせたものです。 個人情報、連続した数字、文字、よく使用される辞書の単語を含めないようにします。
サイバー脅威に関する知識をつける
MFAをはじめとした、二段階認証などを突破される被害を防ぐためには、常に最新のサイバー脅威について熟知しておく必要があります。 サイバー犯罪者は、MFAなどの二段階認証を突破して、オンラインアカウントをハッキングする新しい方法を絶えず開発しています。 サイバー脅威について学び、それらを認識して回避する必要があります。
まとめ:Keeper®を使用して二段階認証や多要素認証を突破されない対策を
MFAをはじめとした、2段階認証や2要素認証の突破を防ぐ最も優れた便利な方法の1つは、MFAの主な方法として、認証アプリを使用することです。 認証アプリは、デバイスでローカルに2FAコードを生成するため、サイバー犯罪者がそれらを盗むことを困難にします。 アカウントへのログインを簡素化するには、認証アプリとしてパスワードマネージャーを使用すべきです。
パスワードマネージャーは、個人の情報をデジタルボルトに安全に保存し、管理するツールです。 優れたパスワードマネージャーは、ツール内で2FAコードをローカルに生成する認証アプリ機能を統合しています。 ログインページはボルトに保存され、アカウントにログインしようとする際に、ログイン認証情報と2FAコードを自動的に入力します。
Keeperパスワードマネージャーは、オンラインアカウントのセキュリティを向上させ、ログインプロセスを簡素化するために、アプリに2FAコードを統合しました。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルや14日間のビジネスプランのフリートライアルを試して、2段階認証や2要素認証、多要素認証が突破されない対策にどのように役立つのか、利用してみてはいかがでしょうか。
