FAQ:2要素認証について知っておくべきこと--Twitterなど大手サービスで進む不正アクセス対策 - (page 2)

Seth Rosenblatt (CNET News) 翻訳校正: 川村インターナショナル 編集部2013年06月13日 07時30分
  • 一覧
  • このエントリーをはてなブックマークに追加

 Fenton氏によると、2要素認証によってログインが難しくなるが、「途方もなく」困難になるわけではないという。

 「攻撃者はウェブサイトからクッキーやOAuthトークンを収集して、事実上ユーザーのセッションを乗っ取ることができるかもしれない。したがって、2要素認証は良いものではあるが、ユーザー体験を複雑にするのも事実だ。例えば、ユーザーがデバイス上で初めてアカウントにログインするときに複雑になる」(Fenton氏)

--2要素認証はわたしを守ってくれるのだろうか。

 セキュリティに関して言えば、それは誘導尋問だ。

 確かに2要素認証は、ハッカーの侵入を完全に防ぐものでない。2要素認証システムが突破された最も有名な事例の1つは、2011年に起きた。セキュリティ企業のRSAはこのとき、同社の「SecurID」認証トークンがハッキングされたことを明らかにしている。

 Fenton氏は2FAの効果に関する問題の両面を説明した。「セキュリティ専門家としてわたしが懸念しているのは、脅威の原因は何なのかということに人々が注目しないことだ。2FAは問題を軽減するが、2FAに対しては非常に多くの攻撃を仕掛けることが可能だ」(Fenton氏)

 その一方で、2要素認証は、使わないよりはログインの防御力が強化されるとFenton氏は言う。「攻撃をより困難にすることで、ハッカーコミュニティーの一部を無力化させることができる」(Fenton氏)

--ハッカーはどのようにして2FAを突破するのか。

 犯罪者が2要素認証をハックするには、ログインを構成する物理的な要素を入手するか、あるいは認証メカニズムによってデバイス上に保存されたクッキーやトークンにアクセスする必要がある。これは、フィッシング攻撃やマルウェア、クレジットカードリーダーのスキミングなど、複数の手段で実行可能だ。しかし、ほかにも方法がある。アカウントの復元だ。

 ジャーナリストのMat Honan氏に起きたことを覚えている人もいるだろう。Honan氏のアカウントは、「アカウント復元」機能を利用してハックされた。アカウント復元は、現在のパスワードをリセットし、仮のパスワードを電子メールでユーザーに送信することで、ユーザーが再びログインできるようにするものだ。

 Duo SecurityのOberheide氏は、「十分に解決されていない最大の問題の1つが、アカウント復元だ」と述べた。

 Fenton氏の説明によれば、アカウント復元は2FAを完全に「迂回」するため、2要素認証を突破するためのツールとして機能するという。同氏は「(Honan氏の記事が掲載された)すぐ後、わたしはGoogleアカウントを作成し、そのアカウントで2FAの設定を行った。そして、自分のデータを失ったふりをしてみた」と述べた。

 Fenton氏はこう続ける。「アカウント復元には多少余分な時間がかかったが、3日後に受け取った電子メールには、親切にもわたしのアカウントで2FAが無効にされたことが説明されていた」。その後同氏は、2FAなしで再びアカウントにログインすることができたという。

RSAの「SecurID」キーフォブ。
RSAの「SecurID」キーフォブ。
提供:Via Wikimedia Commons

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]