Share

多要素認証疲れ?!

  • 2022年9月28日

最近ではほぼスタンダードになりつつある多要素認証(Multi Factor Authentication)
頭文字をとってMFAなんて表記される場合もありますね。

IDとパスワードの組み合わせに加え、
他の要素を認証に使用することによって、
侵入を防ぐ仕組みです。

この”他の要素”とは例えばスマホのSMS(ショートメッセージ)だったり、
メールでの認証コード通知などが使われます。

よく混同しやすいのが、「2段階認証」という言葉。
同じように思えますが、例えばパスワードを2つ入力するような
認証は2段階認証であり、多要素(2要素)認証ではありません。

”知っている”という知識情報のみの1つの要素しか使用していません。
なので「多要素ではない」ということですね。

多要素とは、異なる要素を組み合わせること。
”パスワードを知っている”という知識情報と、
”そのスマホを所持している”という所持情報などを
組み合わせた時に初めて”多要素”認証となります。

そんなセキュリティが高いとされている多要素認証に
あらたな攻撃方法が報告されています。

それは「多要素認証疲れ攻撃」という手法。
例えばIDとパスワードが流出してしまい、
その多要素認証にスマホのSMSを使用していたとしましょう。

攻撃者が流出したIDとパスワードでサインインを試みたとき、
スマホのSMSにメッセージが飛んできます。
「じゃあ、そのメッセージに答えなければ安心じゃん」
と思いますが、
では、そのメッセージが100件飛んできたらどうしますか?

報告によると、ほとんどの人がメッセージに対応し、
サインインを許可してしまうそうです。
「ボタンを押せ」と100回言われたら押してしまうようなものですね。
たとえそれが間違いだとしても。
ボタンを押せば煩わしいメッセージが止むのですから。

深夜などの好まざる時間帯なら、なおのこと効果的ですね(苦笑)

いつの時代もセキュリティの最大の弱点は人間です。
もしSMSなどの多要素認証メッセージが繰り返し届いたら、
あなたのIDとパスワードを使用し、悪意ある第三者が
サインインを試みているということです。
安易に許可してしまわないよう、
このような手口があるということを知っておきましょう。