こんにちは。SCSKセキュリティプロダクト第二部Yubicoチームです。
今回は最近よく耳にするリアルタイムフィッシングと、なぜYubiKeyがリアルタイムフィッシングを防ぐことができるのかを解説します
リアルタイムフィッシングとは?
リアルタイムフィッシングとは、攻撃者がユーザーと本物のサービスとの間に入り込み、ユーザーが入力した認証情報やワンタイムパスワード(OTP)などを即座に盗み、その情報を使って本物のサービスへ不正アクセスを行う手法を指します。従来のフィッシング攻撃よりも高度で、正規のWebページのコピーでユーザーを騙すだけでなく、リアルタイムに情報を盗み取って悪用します。
イメージとしては下記となります。ワンタイムパスワードを利用して認証している場合でも、ワンタイムパスワードは一定期間利用可能なため、盗まれたら流用される恐れがあります。
- 攻撃者によるフィッシングメールやSMSなどで、ユーザーがフィッシングサイトに誘導される
- ユーザーは騙されていると気づかず、フィッシングサイトにIDとパスワードを入力する
- 攻撃者は②で入力されたIDとパスワードをバックグラウンドで正規サイトへ入力する
- ユーザーは続けて要求されるワンタイムパスワードも、フィッシングサイトに入力する
- 攻撃者は④で入力されたワンタイムパスワードを正規サイトへ入力する
YubiKeyは物理的なセキュリティキーであり、リアルタイムフィッシングなど高度なフィッシング攻撃に対する有効な防御策です。YubiKeyはFIDO2認証などのプロトコルに対応しています。ユーザーはログイン時に認証を求められた際、YubiKeyをパソコンやスマートフォンに認識させてログインします。仮にユーザーが騙されてフィッシングサイトでYubiKeyを使用したとしても、YubiKeyは正規のサイトにアクセスした場合以外では、正しい認証情報を発行しませんので、たとえ攻撃者が認証情報を盗んだとしても、それは正規のサイトのログインに利用できません。
YubiKeyを利用した場合のイメージは、下記の通りです。FIDO2認証では、認証時に事前に登録されたウェブサイトのURLを確認し、正しいサイトのみで認証が成功します。そのため、フィッシングサイトでYubiKeyによる認証を試みても、YubiKey内部の認証情報は利用されず、フィッシング攻撃を防ぐことができます。
- 攻撃者によるフィッシングメールやSMSなどで、ユーザーがフィッシングサイトに誘導される
- ユーザーは騙されていると気づかず、YubiKeyを利用するが、YubiKeyが正しい認証情報を生成しない
- 攻撃者が取得した認証情報は間違った情報であり、正規サイトへのログインには利用できない
まとめ
リアルタイムフィッシングは、攻撃者がユーザーの入力した認証情報やワンタイムパスワード(OTP)を取得すると同時に、本物のサービスへアクセスして不正ログインを行う高度な攻撃です。従来のフィッシング攻撃と異なり、入力された情報をリアルタイムで悪用してログインを行います。
ワンタイムパスワードがリアルタイムフィッシングに対して脆弱なのではなく、ワンタイムパスワードを無力化するために生み出された攻撃手法がリアルタイムフィッシングであり、これが常套化した現在ではワンタイムパスワードは保護の用を成しません。
このようなリアルタイムフィッシング攻撃への対策として、FIDO2やPIVなどの強力な認証手段の利用が推奨されています。YubiKeyはFIDO2やPIVなどの認証に対応しているため、ログイン時の認証情報が盗まれても、YubiKey本体がなければ不正アクセスはできません。さらに、FIDO2認証では事前登録された正規のウェブサイトでのみ認証が成功するため、リアルタイムフィッシングに対しても不正アクセスの被害を防ぐことができます。
YubiKeyに関するご相談・お問合せは、お気軽に弊社までお問合せください。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
