ネット上のアカウントに対する不正アクセスを防ぐため、今や多要素認証は欠かせない対策となった。たとえIDとパスワードが盗まれたとしても、ワンタイムパスワードの入力が必要な状態にしておけば、アカウントは守られるという想定だ。ところがその仕組みを突破しようとする攻撃が増えつつある。
暗号資産取引所大手のCoinbaseでは、顧客約6000人がSMSを使った多要素認証を突破され、暗号通貨を盗まれる事件が発生した。
BleepingComputerによると、2021年3月〜5月にかけ、何者かがCoinbase顧客のアカウントに不正侵入して暗号通貨を盗み出していたことが分かった。攻撃者はまずフィッシング詐欺などの手口を使い、顧客がCoinbaseのアカウントに登録したメールアドレスやパスワード、電話番号などの情報を事前に入手していたと思われる。
BleepingComputerの記事それでも多要素認証を設定していれば、アカウントへの不正侵入は食い止められるはずだった。しかしCoinbaseのSMSを使ったアカウント復旧プロセスに脆弱性があったことが判明。攻撃者はこの問題を突いてSMSの2要素認証トークンを入手し、顧客の暗号通貨を盗み出していた。
多要素認証破りに使われるのは脆弱性を突く手口ばかりとは限らない。セキュリティ企業のIntel 471によると、アンダーグラウンドのサイバー犯罪集団は詐欺グループ向けに、狙った相手のワンタイムパスワードを傍受できる、とうたうサービスを展開しているという。
Intel 471の記事そうしたサービスは、例えば銀行からの正規の電話を装って被害者をだまし、ワンタイムパスワードなどの認証コードを入力するよう仕向ける作業をbotが代行する。詐欺グループは被害者が入力した認証コードを傍受できるという仕組みだ。標的は銀行だけでなく、PayPalやApple Pay、Google Payといった決済サービス、さらにはFacebook、Instagram、Snapchatといった大手SNSのアカウントを選択することもできる。
Intel 471が発見したサービスは2021年6月から稼働していて、いずれもメッセージングアプリ「Telegram」のbot経由で運用されていた。専用のTelegramチャネルでは、被害者の口座から数千ドルを盗んだといった会話が交わされていたという。
セキュリティジャーナリストのブライアン・クレブス氏が運営するKrebs on Securityによると、この手のワンタイムパスワード詐取は、詐欺グループが事前に被害者のアカウントのIDやパスワードを入手していることを前提とする。
Krebs on Securityの記事Coinbaseの場合、9月の時点で顧客をだましてIDとパスワードを入力させようとするフィッシング詐欺が横行しているとして、公式ブログで注意を呼びかけていた。主にイタリアの顧客を狙ったフィッシング詐欺サイトを発見・調査したセキュリティ企業Hold Securityによれば、このサイトでは閉鎖されるまでに少なくとも870件の認証情報が盗まれていたと思われる。
Coinbaseの公式サイトを偽装したこのサイトは、被害者がだまされて認証情報を入力するたびに、詐欺グループ側の管理画面に通知が出る。そこで管理者が「情報送信」ボタンをクリックすると、被害者に対して氏名や生年月日、住所などの個人情報の入力を促す画面を表示する。「認証SMS送信」ボタンをクリックすると、被害者の端末の認証アプリが生成したワンタイムパスワードを入力させる画面を表示する仕組みだった。
それでも多くのユーザーは、自分は詐欺サイトにだまされたりはしないと思うかもしれない。しかし個人情報はいつ、どこで流出しているか分からない。闇サイトではそうした情報が大量に売買されている。
「SMSや電話を使ったOTP(ワンタイムパスワード)サービスは、何もないよりはましだが、犯罪集団は相手をだまして安全対策をかわす手段を見つけている」とIntel 471は警鐘を鳴らす。
その背景としてクレブス氏は「SMSベースのワンタイムコードや、アプリで生成されるOTPトークンなど、傍受や偽装が可能な多要素認証手段へとユーザーを誘導するWebサイトやサービスがあまりに多い」と指摘する。
多要素認証とは本来、ユーザーが知るパスワードなどの「知識情報」と、スマートフォンなどの「所持情報」、指紋などの「生体情報」の3要素のうち2要素以上を組み合わせる認証を指す。ところが実際には、同じ知識情報(パスワードとワンタイムコード)を、同じチャネル(Webブラウザ)経由で入力させるサービスも多いとクレブス氏は言う。
「2要素認証の形態としては、認証アプリで生成する時間ベースのワンタイムパスワード(TOTP)コードやプッシュ通知ベースのコード、FIDOセキュリティキーなどの方が確実性は高い」とIntel 471は解説している。
関連記事
からの記事と詳細 ( 狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上 - ITmedia )
https://ift.tt/3CPtWGa
No comments:
Post a Comment