「ワンタイムパスワード等の多要素認証を使っているから、もしもIDとパスワードが盗まれても、

不正にログインされる危険はない」と思われている方もいらっしゃるのではないでしょうか。

たしかに多要素認証はIDとパスワードのみを用いた認証よりもリスクを低減できます。

しかし、多要素認証であっても、サイバー攻撃の被害を被った事例は多数あります。

特に一般消費者や組織の従業員といった立場においては、人間の心理的な隙や行動のミスにつけ込む

「ソーシャルエンジニアリング」と呼ばれる攻撃手法に注意が必要です。

例えば、SMS（ショートメッセージサービス）を用いた「スミッシング」と呼ばれる手法で、ネット

バンキングサービス等のワンタイムパスワードを突破する攻撃が以前から国内で確認されていました。

2022年9月に発生した米国のウーバーテクノロジーズへの不正アクセス被害の侵入の糸口は、

従業員が「MFA（多要素認証）疲労攻撃」と呼ばれる手法によって多要素認証を突破されたことでした。

多要素認証を採用していても、完全に安心することはできません。ソーシャルエンジニアリングの手法を

用いた攻撃の例をご説明します。ぜひご一読ください。

多要素認証とは

多要素認証とは、なりすまし等を防ぐために、ユーザー認証の際に、

「知識情報」、「所持情報」、「生体情報」の3つの要素のうち、2つ以上を組み合わせて認証することを指します。

○知識情報
IDやパスワード、秘密の質問の答え等、ユーザーが知っている情報

○所持情報
ICカード、スマートフォンにSMSで送られるワンタイムパスワード、スマートフォンのアプリで表示される
ワンタイムパスワード等、ユーザーが所持している情報

○生体情報
指紋、静脈、声紋、顔の容貌等

※なお、例えばIDとパスワードに加えて秘密の質問の答えを要求するように

上述の知識情報のみを用いる場合は、多要素認証ではありません。

ソーシャルエンジニアリングの手法を用いた攻撃の例

スミッシング

フィッシング詐欺の一種で、メールではなく、SMS（ショートメッセージサービス）を利用します。

日本国内のWEBサービス等では、SMSでワンタイムパスワードを送信する形式の多要素認証が

多く採用されていますが、そういった場合のスミッシングの手順例は以下になります。

1. 攻撃者が標的とするサービスの運営になりすましたショートメッセージをターゲットに送信する
（メッセージ中のリンクから本物そっくりの偽サイトに誘導される）

2. ターゲットがメッセージ中のリンクから偽サイトにアクセスし、IDとパスワードを入力する

3. 偽サイトに入力したIDとパスワードが攻撃者に送信される

4. 攻撃者が本物のサイトにターゲットから詐取したIDとパスワードを入力する

5. 本物のサイトからユーザーにワンタイムパスワードが送信される

6. ユーザーが偽サイトにワンタイムパスワードを入力する

7. 攻撃者がワンタイムパスワードも入手し本物のサイトに不正ログインする

スミッシングの被害にあわないためには、「SMS等に記載されたURLにアクセスしない」

「インターネットバンキング等を利用するときはブックマークからアクセスする」といったことが重要です。

MFA（多要素認証）疲労攻撃

前述のウーバーテクノロジーズの場合、攻撃者はすでにウーバーのVPNの有効なIDとパスワードを特定していましたが、

アカウントにアクセスするには、多要素認証が必要でした。

そのため、攻撃者は1時間以上にわたって多要素認証の承認を求めるプッシュ通知で従業員を疲労させ、

組織のITスタッフになりすましてメッセンジャーアプリでターゲットに連絡し、承認させたとのことです。

■参考：Uber hacked, internal systems breached and vulnerability reports stolen（BleepingComputer

2022.9.16）

このような攻撃は、MFA疲労攻撃、もしくはMFAプッシュスパム等と呼ばれる手法です。

現在、日本国内ではワンタイムパスワードによる多要素認証が主流のようですが、今後注意が必要な

攻撃手法と思われます。

人間の脆弱性はいつの時代も攻撃者から狙われています。

多要素認証はたしかにID、パスワードのみの認証よりもリスクを低減できますが、

過信することのないようご注意ください。