Fenton氏によると、2要素認証によってログインが難しくなるが、「途方もなく」困難になるわけではないという。
「攻撃者はウェブサイトからクッキーやOAuthトークンを収集して、事実上ユーザーのセッションを乗っ取ることができるかもしれない。したがって、2要素認証は良いものではあるが、ユーザー体験を複雑にするのも事実だ。例えば、ユーザーがデバイス上で初めてアカウントにログインするときに複雑になる」(Fenton氏)
--2要素認証はわたしを守ってくれるのだろうか。
セキュリティに関して言えば、それは誘導尋問だ。
確かに2要素認証は、ハッカーの侵入を完全に防ぐものでない。2要素認証システムが突破された最も有名な事例の1つは、2011年に起きた。セキュリティ企業のRSAはこのとき、同社の「SecurID」認証トークンがハッキングされたことを明らかにしている。
Fenton氏は2FAの効果に関する問題の両面を説明した。「セキュリティ専門家としてわたしが懸念しているのは、脅威の原因は何なのかということに人々が注目しないことだ。2FAは問題を軽減するが、2FAに対しては非常に多くの攻撃を仕掛けることが可能だ」(Fenton氏)
その一方で、2要素認証は、使わないよりはログインの防御力が強化されるとFenton氏は言う。「攻撃をより困難にすることで、ハッカーコミュニティーの一部を無力化させることができる」(Fenton氏)
--ハッカーはどのようにして2FAを突破するのか。
犯罪者が2要素認証をハックするには、ログインを構成する物理的な要素を入手するか、あるいは認証メカニズムによってデバイス上に保存されたクッキーやトークンにアクセスする必要がある。これは、フィッシング攻撃やマルウェア、クレジットカードリーダーのスキミングなど、複数の手段で実行可能だ。しかし、ほかにも方法がある。アカウントの復元だ。
ジャーナリストのMat Honan氏に起きたことを覚えている人もいるだろう。Honan氏のアカウントは、「アカウント復元」機能を利用してハックされた。アカウント復元は、現在のパスワードをリセットし、仮のパスワードを電子メールでユーザーに送信することで、ユーザーが再びログインできるようにするものだ。
Duo SecurityのOberheide氏は、「十分に解決されていない最大の問題の1つが、アカウント復元だ」と述べた。
Fenton氏の説明によれば、アカウント復元は2FAを完全に「迂回」するため、2要素認証を突破するためのツールとして機能するという。同氏は「(Honan氏の記事が掲載された)すぐ後、わたしはGoogleアカウントを作成し、そのアカウントで2FAの設定を行った。そして、自分のデータを失ったふりをしてみた」と述べた。
Fenton氏はこう続ける。「アカウント復元には多少余分な時間がかかったが、3日後に受け取った電子メールには、親切にもわたしのアカウントで2FAが無効にされたことが説明されていた」。その後同氏は、2FAなしで再びアカウントにログインすることができたという。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
テレビを持たない若者たち--新たな体験で変化の兆しも 
写真で見るモトローラの「手首に着けるスマホ」コンセプトモデル 
シャオミ初のEV「SU7」、MWCに登場