攻撃手法と対策/多要素認証に対する攻撃

不正ログイン対策として多要素認証が存在しますが、多要素認証を行っていても不正ログインされる攻撃が存在します。

ここでは、多要素認証を行っていた場合に考慮する必要のある主な攻撃を記載します。

1. セッションハイジャック
   ブラウザ経由で利用するサービスの場合、認証が終わった後はセッション情報をブラウザのcookie等に保存し、その情報を利用して利用中の本人特定を行っています。そのため、セッション情報を利用すれば、多要素認証の有無に関わらず、不正に操作を行うことができます。
2. ソーシャルエンジニアリング
   普段利用している端末が壊れてしまったような場合、パスワードも多要素認証用の要素もまとめて利用できなくなることがあります。そのような場合に備えて、多要素認証が有効になっていた場合にも、パスワードリセットと同じようなプロセスで多要素認証を無効化できることがあります。有名なクラウドサービスの場合、プロセスがblog等で紹介されていますので、その内容をベースにFacebook等で情報を集め、リセットを仕掛けます。
3. 中間者攻撃
   偽のログインページを用意しておき、フィッシングメール等でユーザーを誘導します。ユーザーがIDとパスワードを偽のログインページに入力すると、その情報を正規のページに転送し、多要素認証を実行させます。産総研のレポートが本攻撃に言及しています。
   1. 中間者攻撃
   2. 産総研の情報
4. SMSインターセプト
   SMSを通信経路上で奪取する方式です。NISTが警告を出しています。また、redditがSMSの多要素認証を突破され、情報漏えいが発生しました。
   1. NISTが警告、SMSでの二段階認証が危険な理由
   2. redditの情報