2要素認証は万能ではない……Firefoxアドオンで突破する事例、RSAが紹介

　RSAが提供するフィッシングサイト閉鎖サービス「RSA FraudAction」の中核であるAFCC（Anti－Fraud Command Center：不正対策指令センター）は30日、フィッシングやオンライン犯罪関連の最新動向「Monthly AFCC NEWS」を公開した。

　今回の「Monthly AFCC NEWS」では、SMSを利用した「2要素認証」を、サイバー犯罪者たちが突破する手法が紹介されている。

　「2要素認証」は、ユーザのログイン時に、IDとパスワードによるチェックだけでなく、別途、USBトークンやスマートカードなどの所持デバイス、指紋や顔などの生体認証など、2つの認証方式を併用するものだ。最近では、ネットバンキングなどのオンラインサービスでも採用されている、一方でサイバー犯罪者は、「2要素認証」を回避・突破するさまざまな手法を模索している。

　今回RSAでは、Firefoxのアドオン「Tamper Data」を使う手法を、ロシア語圏の地下フォーラムで発見したとしている。「Tamper Data」は、WebサイトやWebアプリケーションの動作確認のため、HTTP通信の内容を確認したり、カスタマイズしたりするアドオンだ。これ自体は、通常のFirefoxアドオンとして公式サイトからも入手できる。

　しかし「Tamper Data」を悪用することで、HTTP通信のGET要求・POST要求の不正改ざんなども可能となる。そのため、「2要素認証」を回避し、あたかも利用者本人の端末からログインが試みられたかのように見せかけることができるという。これにより、標的のオンラインバンキング口座へアクセス可能となる。

　今回発見された事例は、ユーザーの所持デバイス自体がなくても、その「デバイスID」さえ入手していれば、2つめの要素として、ログインを試みるというものだった。ただし、別途IDとパスワードも入手しておかなければならないため、決して容易な攻撃ではない。しかし「2要素認証が決して万能とは言えないことを示す好例」だと、RSAでは指摘している。