Loading

2要素認証が決して万能とは言えない

2014-11-04 11_47_36-japan.emc.com_collateral_fraud-report_afccnews-141030-j.pdf

 

2要素認証とは、二つの認証方式を利用してセキュリティを高める方法です。

 

・認証方式は、ID/パスワードといったユーザーの知識を利用したもの
・USBトークンやスマートカードなど対象者の持ち物を利用したもの

・虹彩認証や指紋認証など身体の特徴を利用したものの

 

3つに分かれます。

 

通常は、このうちどれか一つを使用して認証を行いますが、2要素認証ではこの中から二つ使用して、認証します。

 

そんな2要素認証ですが今回、Firefoxのアドオン「Tamper Data」を使用して突破する方法をRSAが提供するフィッシングサイト閉鎖サービス「RSA FraudAction」の中核であるAFCC(Anti-Fraud Command Center:不正対策指令センター)は30日、フィッシングやオンライン犯罪関連の最新動向「Monthly AFCC NEWS」を公開しました。

 

2014-11-04 11_35_09-japan.emc.com_collateral_solution-overview_compro-sb-1101-j.pdf

 

「Tamper Data」を悪用することで、HTTP通信のGET要求・POST要求の不正改ざんなども可能となります。
 
そのため、「2要素認証」を回避し、あたかも利用者本人の端末からログインが試みられたかのように見せかけることができるという。
 
これにより、標的のオンラインバンキング口座へアクセス可能となります。

今回発見された事例は、ユーザーの所持デバイス自体がなくても、その「デバイスID」さえ入手していれば、2つめの要素として、ログインを試みるというものだった。

 
ただし、別途IDとパスワードも入手しておかなければならないため、決して容易な攻撃ではありませんが、「2要素認証が決して万能とは言えないことを示す好例」だと、RSAでは指摘しています。
 

 

PAGE TOP