本記事は私個人がざっと調べた内容をもとにまとめたものであり、私はセキュリティの専門家ではありません。内容には誤りや認識不足が含まれている可能性があります。ご理解の上でお読みいただければ幸いです。
もし誤りや補足点などがあれば、コメントなどでご指摘いただけると大変助かります 🙏
最近証券口座の乗っ取り被害が増えているようですが、どのような手法で乗っ取られていて、どのような対策が有効なのか、調べてみました。
2段階認証は安全か?
最近2段階認証も増えてきて、利用者としてはセキュリティ対策できていると安心していると思いますが、2段階認証も必ずしも安全とはいえないようです。
ところで、皆さんはフィッシングメールをご存知でしょうか?
フィッシングメールは受信者を騙して個人情報やクレジットカード情報を盗み取ることを目的とした詐欺メールで、偽サイトに誘導してログイン情報を入力させることで、利用者のログイン情報を取得する手口になります。
2段階認証はフィッシングメールの対策にはある程度有効です。理由としては、2段階認証は大抵認証コードに有効期限があるからです。
そのため悪意のある人間がコードを取得できたとしても、有効期限が切れれば利用できなくなります。
しかし、有効期限が切れる前に認証コードを使われたらどうでしょう。そこをついたのがリアルタイムフィッシングと呼ばれる手口で、2段階認証認証が安全とは言い切れない理由です。
リアルタイムフィッシングとは
リアルタイムフィッシングは偽のサイトに誘導された利用者が認証情報を入力し、その認証情報を取得した悪意のある人間がリアルタイムに本物のサイトにログインすることで乗っ取る手法です。
通常のフィッシングとは違い、利用者が入力した情報をすぐに正規のサイトに入力するため、2段階認証のような有効期限があるものでもログインできてしまうということになります。
パスキー認証はリアルタイムフィッシングの対策になるか?
端末側でサイトを検証する仕組みがあることがリアルタイムフィッシングの対策になっていると思います。
パスキーは、サイトが端末にログイン認証を要求し、端末でローカル認証を行ったあと、事前にそのサイト用に作成した秘密鍵で署名した情報をサイトに送信します。
リアルタイムフィッシングは認証情報を取得しそれを利用します。パスキーで考えるとローカル認証後の署名した情報ををサイトに送信するところですが、これが偽サイトに送られることは考えにくいです。それはサイトが端末にログイン認証を要求したとき、端末では要求があったサイトで作成した秘密鍵でしか署名を行わないからです。
最後に
そもそもパスキーが採用されているサイトが少なかったり、パスキーが採用されていても通常のログインパスワードが簡単なものになっていると乗っ取られる可能性があると思います。色々セキュリティ対策はありますが、全ての攻撃手法に対応できるものがあるわけではないのでできる対策は可能な限り行うのが良さそうだと思いました。
