こんにちは。SCSKセキュリティプロダクト第二部Yubicoチームです。
近年、フィッシング攻撃の手口が高度化しており、SMSコードやワンタイムパスワード(OTP)などの、これまで広く利用されてきた2段階認証/多要素認証では十分な防御が難しくなっています。そのため、フィッシング耐性がある多要素認証の必要性が高まっています。本コラムでは、フィッシング耐性を持つ多要素認証の特徴と、YubiKeyによるFIDO2認証を解説します。
フィッシング攻撃とは
フィッシング攻撃は、巧妙に偽装されたウェブサイトへ誘導し、ユーザーが入力した認証情報やパスワードを盗み出す手法です。最近ではユーザーが入力する2段階目の認証要素をも盗み、即座に利用して不正アクセスを行う、リアルタイムフィッシングという手法が使われています。
多要素認証とフィッシング耐性
多要素認証(MFA)は、パスワードに加え、ワンタイムパスワードや認証アプリなど、複数の認証手段を組み合わせて利用することでセキュリティを強化します。しかし、SMSコードや認証アプリによるワンタイムパスワードはユーザーが入力する認証情報であり、いずれもフィッシングサイトに騙されれば盗まれます。そして、その認証情報を即座に利用するリアルタイムフィッシング攻撃の対象となる可能性があります。
ログイン時にアプリで承認を行う方式も、犯罪者がリアルタイムに不正アクセスを行えば承認要求がユーザーのアプリに表示され、騙されていることに気づいていないユーザーは承認をしてしまいます。
フィッシング耐性がある多要素認証とは、認証情報が外部に漏れにくい設計となっており、偽サイトへアクセスしても認証情報が盗まれないものを指します。FIDO2による物理セキュリティキー認証がこれに該当します
多要素認証におけるフィッシング耐性の有無を簡単に類別すると、下記表のようになります。
| フィッシング耐性がある多要素認証 | フィッシング耐性がない多要素認証 |
|---|---|
| FIDO認証 スマートカード(証明書認証) | ワンタイムパスワード (スマホアプリやSMSを含む) 音声電話 アプリ承認 |
YubiKeyのフィッシング耐性
物理的セキュリティキーであるYubiKeyは、FIDO2認証などのプロトコルに対応しており、ログインにはYubiKey本体が必要です。またFIDO2認証では、事前に登録されたウェブサイトのURLを認証時に確認し、正しいサイトでのみ認証が機能します。これにより、たとえユーザーがフィッシングサイトにアクセスしても、YubiKey内部の認証情報は利用できず、不正アクセスを防ぐことができます。
YubiKeyによるFIDO2認証は、フィッシング耐性が高い多要素認証方法の代表例といえます。
まとめ
高度化するフィッシング攻撃に対抗するためには、フィッシング耐性のある多要素認証の導入が重要です。YubiKeyのような物理的セキュリティキーでFIDO2認証を利用することで、情報漏えいや不正アクセスのリスクを大幅に低減できます。今後の認証方法選定の参考にしてください。
YubiKeyに関するご相談・お問合せは、お気軽に弊社までお問合せください。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
認証強化セミナーを開催いたします!-300x169.png)
