二要素認証も突破する不正アクセスの手口とは
会員サイト、ECサイト、インターネットバンキング、今や多くの企業でお客様に向けたサービスを提供するため一般に公開されたWebサイトを運用されています。これらのWebサイトに対して、正規ユーザーに成りすまして、不正にログインし、不当に利益を得たりする試みが後を絶ちません。このなりすましログインに対して二要素認証が有効とされます。しかし、二要素認証を導入しておけば万全というわけではありません。 警察庁が発表した「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、不正送金被害にあった個人口座の53.3%はワンタイムパスワードを使っていたにも関わらず被害にあっていました。
(※)出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf
セキュアブレインでは、MITB型マルウェアで観測された手口や、フィッシング詐欺サイトを用いた手口で、二要素認証を突破する攻撃について、以前から警鐘を鳴らしてきました。二要素認証とは何か、それが一定の効果を持つ理由、それでも突破してしまう不正アクセスの手口を解説します。
二要素認証による対策
不正ログインには二要素認証が有効とされています。まず、正規のユーザーは、ユーザーID・パスワードという自分だけが知っている情報を用いて、知識認証を行います。これに加えて、ワンタイムパスワードの生成器が生成するランダムな数字列、ワンタイムパスワードを入力して認証を行います。ワンタイムパスワードの生成器を持っていないと入力できないことから、所有物認証と言われます。二要素認証とは、このように知識認証と所有物認証など、二つの要素を組み合わせた認証となります。
二要素認証の導入で、Webサービスを不正利用しようとする犯罪者が、ユーザーID、パスワードを不正入手することでWebサービスに対して知識認証に成功したとしても、ワンタイムパスワードについては、生成器を所有していないことから、入力できず認証失敗となります。このように、二要素認証は、犯罪者によるなりすましログインに対して一定の効果があります。
二要素認証を突破する手口
しかし、二要素認証は、インターネットバンキング等で、すでに突破される事例も散見されています。二要素認証を突破する手口は次のような手口です。
犯罪者は、正規のユーザーをだますフィッシングサイトを用意します。さきほど同様、正規ユーザーを誘導し、まず、知識認証のパスワードをフィッシングサイトで入力させ、犯罪者がWebサービスに対して入力します。さらに、フィッシングサイトでは、ワンタイムパスワードの入力を促す画面を表示し、
1.正規のユーザーからワンタイムパスワードを詐取
2.犯罪者がWebサービスに対してワンタイムパスワードを入力する
という流れで、二要素認証が突破されてしまいます。ワンタイムパスワードの生成器を所有しなくとも表示されている値を知っていれば入力可能です。「所有物認証の知識認証化」が起き、もはや2つの要素、二要素認証ではなくなってしまっています。
なりすましログインへの対策
不正ログイン・なりすましログインの対策に糸口はあります。いつものアクセス・正規のアクセスと異なる、不正の予兆があるはずです。例えば、国内の利用者であるのに、ブラウザの表示言語が外国語、ログイン時の端末のIPアドレスが国外である、多数の異なる利用者から頻繁に送金を受ける不審な利用者である、異なる利用者による取引が、同一IPアドレスからのアクセスである、口座開設直後に行われる犯罪者に特有の不審な取引であるなど、通常の正規利用者によるアクセスや、サービス利用とは異なる傾向が見えてきます。
このような不正なアクセスは、膨大な他の正規のアクセスに紛れ込んできます。不正なアクセスを検知するには、そのための仕組みの導入、運用体制の構築・確保が必要になります。また、近年、不正アクセスの手口は巧妙になってきており、新手の攻撃にも継続して対応していく必要があります。
この課題にお応えするのが、SecureBrain Scam Radar(セキュアブレイン・スキャムレーダー) BDです。ネット犯罪を長年研究しているセキュアブレインがその知見を活かし、顧客の特徴や振舞いを分析し、独自ロジックのビッグデータ分析で不正な取引をリアルタイムに検知します。お客様のWebサイトに沿ったカスタマイズを行い、さらに、新手の攻撃手法にも、Scam Radar BDサーバーのチューニングにより対応します。チューニングに伴うWebサービス事業者様でのご対応は不要です。このため、Webサービス事業者様の手間・負担なく、新手の攻撃に迅速な対応が可能となります。モバイルアプリケーションにもScam Radar Mobile SDKで対応します。本SDK を利用することで、既存のモバイルアプリケーションにセキュリティ専門ベンダーであるセキュアブレインの不正利用検知機能を追加することが可能です。
不正検知をご検討でしたら、以下Webフォームよりお問い合わせください。
https://www.securebrain.co.jp/form/service/inquiry_input.html