従来MFAの進化と課題

MFA手法の変遷

セキュリティ業界では、以下のような推奨の変化がありました:

  1. 第1段階:「SMSを使ったMFAを導入しよう」
  2. 第2段階:「SMSは危険だから認証アプリを使おう」
  3. 現在:「認証アプリも限界がある」

しかし、この進化は根本的な問題を解決していません。

根本的な問題:認証コンテキストの欠如

従来のMFA手法の最大の問題は、システムが「誰が」「どこから」認証を要求しているかを検証できないことです。

正規サイトでも偽サイトでも、同じ認証コードが生成され、ユーザーは区別することができません。

SMS認証の深刻な脆弱性

1. メッセージ傍受のリスク

技術的な脆弱性

  • SS7(Signaling System 7)プロトコルの欠陥
  • SIMスワッピング攻撃
  • 携帯電話ネットワークへの侵入

2. 第三者配信業者のリスク

供給チェーンの問題

  • Amazon、Googleなどの大手プラットフォームも第三者SMS配信業者を使用
  • 一部の配信業者に監視活動との関連が指摘
  • 配信業者経由でのセキュリティ侵害事例

3. 公的機関からの警告

CISA(米国サイバーセキュリティ・インフラセキュリティ庁)の明確な警告
「SMSを第二要素として使用しないでください」

この警告は、SMSの脆弱性が個人の推測ではなく、実証された事実であることを示しています。

認証アプリの限界

従来の認証アプリが抱える問題

認証アプリ(Google Authenticator、Microsoft Authenticatorなど)は、SMSより改善されていますが、依然として以下の脆弱性があります:

1. フィッシング攻撃への脆弱性

攻撃シナリオ

  1. フィッシングメールでユーザーを偽サイトに誘導
  2. 偽サイトで通常のログイン画面を表示(本物と見分けがつかない)
  3. ユーザーがID・パスワードと認証アプリのコードを入力
  4. 攻撃者がリアルタイムで正規サイトにログイン成功

2. 時間ベースコードの問題

TOTP(Time-based One-Time Password)の制約

  • コード自体に送信先の検証機能がない
  • 生成されたコードは誰でも使用可能
  • 中間者攻撃(Man-in-the-Middle)でのリレー攻撃

3. デバイス侵害時のリスク

デバイスレベルの脅威

  • マルウェア感染によるコード窃取
  • デバイス紛失・盗難時のアクセス
  • ルート化・ジェイルブレイクされたデバイスでのリスク

典型的な攻撃パターン

1. ITヘルプデスク攻撃

  • 攻撃者がITサポートに偽装
  • MFAバイパスやリセットを依頼
  • ソーシャルエンジニアリングによる突破

2. フィッシング・スプーフィング攻撃

  1. 精巧な偽サイトの作成:ピクセル単位で本物と同じ見た目
  2. ユーザーの誘導:フィッシングメールやSMSで偽サイトに誘導
  3. 認証情報の窃取:ユーザーが認証アプリのコードを含めてすべて入力
  4. リアルタイム攻撃:窃取した情報で即座に正規サイトにログイン

この攻撃の恐ろしい点は、ユーザーが「正しく」MFAを使用しているにも関わらず、それが攻撃の手助けをしてしまうことです。

Passkey(パスキー)の進歩と限界

Passkey技術の改善点

技術的優位性

  • 暗号学的にウェブサイトとの結合
  • フィッシング攻撃への耐性向上
  • ユーザーエラーの削減

残存する脆弱性

1. クラウド同期の危険性

クラウドアカウント侵害のリスク

  • Apple IDやGoogleアカウントの乗っ取り
  • 保存されたすべてのPasskeyへのアクセス権限取得
  • クラウド同期機能が単一障害点となる

2. デバイス侵害時の脆弱性

物理的リスク

  • スマートフォンの盗難・紛失
  • マルウェア感染による認証の強制実行
  • 強要・脅迫による認証の悪用

3. 実装の不完全性

現実的な制約

  • 全サービスでの対応が不完全
  • フォールバック認証の必要性
  • ユーザビリティとセキュリティのトレードオフ

企業における対策とベストプラクティス

現状でのリスク軽減策

1. 多層防御の強化

  • 複数の認証手法の併用
  • 異常アクセスパターンの監視
  • セッション管理の強化

2. ユーザー教育の徹底

  • フィッシング攻撃の最新手法周知
  • 疑わしいリクエストの報告体制確立
  • 定期的なセキュリティ訓練実施

3. 技術的対策の実装

  • メール・SMSのセキュリティ強化
  • エンドポイント保護の導入
  • ネットワーク監視の強化

まとめ

現在広く使用されているSMSコードや認証アプリによるMFAは、一見安全に見えますが、実際には多くの脆弱性を抱えています。

重要なポイント

  1. SMS認証は既に破綻:技術的・構造的欠陥により攻撃対象
  2. 認証アプリも限界:フィッシング攻撃に対して脆弱
  3. Passkeyは進歩:進化はしているが、完全ではない
  4. 次世代技術が必要:ハードウェアベースの生体認証が有力

企業においては、現在のMFA手法のリスクを正しく理解し、より安全な認証技術への移行を検討することが重要です。
完璧なセキュリティソリューションは存在しませんが、攻撃者にとって突破困難な仕組みを構築することは可能です。

真のセキュリティは、攻撃者の手法を理解し、それを上回る技術的優位性を確保することから始まります。

アカウント保護をより強固にできるよう、まずは社内の認証がどのように行われているのか把握するところから初めてみましょう!