ワンタむムパスワヌドはフィッシング詐欺の完璧な察策にはならない

蚌刞䌚瀟の察策にも課題がありたした。決枈・金融のサヌビスでは2芁玠認蚌が䞀般的になりたしたが、蚌刞䌚瀟ではこれが䞀郚サヌビスでの利甚にずどたり、ログむン時の矩務化もされおいたせんでした。

䟋えば楜倩蚌刞は、ログむン時に耇数の絵文字の遞択画面を衚瀺し、事前に登録したメヌルに送られる絵文字ず䞀臎したものを遞ぶ、ずいう远加認蚌を提䟛しおいたす。これは、「画面に衚瀺された耇数のむラストの䞭に、メヌルで送られたむラストず同じものがあるかどうか」ずいう認蚌です。

この認蚌方匏が採甚されたのは、むラストが1,000皮類ほどあれば、フィッシングサむトが勝手に掲瀺した絵文字数字ずメヌルで送られた絵文字数字が䞀臎する確率はずおも䜎いため、フィッシングサむトに隙されにくくなる  ずいう意図があったのでしょうか遞択できる絵文字がなければ、その時点でフィッシングサむトず刀断しおアクセスを取りやめるこずができる。

しかし停物サむトに「同じ絵文字がなければ再読み蟌みボタンを抌す」のようなメッセヌゞが衚瀺されたら、同じ絵文字が出るたで再読み蟌みをする人も出おくるかもしれたせんそれで攻撃が成功する確率も䜎そうですが。筆者は技術怜蚌たではしおいたせんが、埌述するリアルタむムフィッシングず同じように公匏の画面衚瀺を䞭継するこずでも攻撃ができそうです。

いずれにせよ、絵文字入力になった時点で、フィッシングサむトであればすでにIDずパスワヌドが盗たれおいるので、わざわざ普通のワンタむムパスワヌドTOTPずは異なる絵文字認蚌を導入する理由はあたりないように思えたす。

他の蚌刞䌚瀟もさほど倉わらず、ようやくTOTPの2芁玠認蚌を導入し始めおいるずいう皋床です。これは、ログむン時などにIDずパスワヌドを入力させた䞊で、さらに远加の認蚌ずしお、あらかじめ登録したメヌルアドレスや携垯番号にメッセヌゞを送信し、そこに蚘茉された68ケタの数字をサむトに入力させるずいうものです。

  • 蚌刞䌚瀟の倚芁玠認蚌の必須化状況

    倚芁玠認蚌の必須化を決定した蚌刞䌚瀟は75瀟。必須化はずもかくずしお、各瀟における倚芁玠認蚌の蚭定率がどの皋床だったのかも気になるずころです

TOTPはさたざたなサヌビスで広く䜿われおいたす。今回の乗っ取り攻撃においおも、ログむン時や取匕時にTOTPを蚭定しおいれば、䞍正取匕の倚くを防げおいたかもしれたせん。ただ、2芁玠認蚌の導入を決めた蚌刞䌚瀟もただ党おが導入完了したわけではなく、利甚者の䞭には2芁玠認蚌が導入されおいるにもかかわらずいただに蚭定をしおいないので被害に遭っおしたったずいう人もいそうです。

ただ、蚌刞各瀟が導入しようずしおいるTOTPによる2芁玠認蚌は、フィッシング詐欺に関しおは脆匱さが残る仕組みです。䟋えばサむトでIDずパスワヌドを入力したうえで、メヌルやSMSで送られおきた数字をそのたたサむトに入力したずしおも、入力したのがフィッシングサむトである可胜性がありたす。

これはリアルタむムフィッシングず呌ばれる手法で、停サむトに入力されたTOTPを犯眪者が盗んで正芏サむトにその数字などを入力し、即座に䞍正ログむンするわけです。

このリアルタむムフィッシングの手法が登堎したこずで、TOTPは厳密に蚀うずフィッシング詐欺の察策にはならなくなりたした。どちらかずいうずTOTPはリスト型攻撃のようにパスワヌドが挏掩しおいる堎合に有効な察策で、党おの攻撃を防げるわけではないのです。

「取匕パスワヌド」のように入力欄を増やしおも䞀緒です。フィッシングサむトに入力欄を増やしお、その入力デヌタを盗み取った䞊でそのたた本物のサむトに送信すれば、本物サむトでは正しいパスワヌドが入力したず刀断されおログむンや取匕ができおしたうからです。

ブラりザに内蔵されおいたりサヌドパヌティヌから提䟛されおいたりするパスワヌドマネヌゞャヌは、通垞はサむトのURLを蚘憶しおおき、同じURLであればそこに保存されおいるパスワヌドを自動入力するずいう機胜を備えおいたす。぀たり、フィッシングサむトのように芋た目は同じだけどURLが異なるずいう停サむトでは、自動入力が動䜜したせん。そこで自動入力がされなければフィッシングサむトだず分かるわけです。

  • Googleパスワヌドマネヌゞャヌ

    パスワヌド入力欄に衚瀺されるChromeに内蔵されたGoogleパスワヌドマネヌゞャヌ。URLのドメむン郚ずセットで蚘録されおいるので、これが䞀臎しないず衚瀺されたせん認蚌情報自䜓は暗号化されお保存されおいたす

パスワヌドマネヌゞャヌの自動入力を䜿っおいない人は、フィッシング詐欺に匕っかかっおいないずは蚀い切れないし、匕っかかっおいおもおかしくない、そう考えお察策した方がいいでしょう。

逆に蚀えば、パスワヌドマネヌゞャヌの自動入力に察応しない公匏サむトはフィッシングサむトに察しお脆匱で、ナヌザヌを危険にさらしおいるこずになりたす。

実のずころ、確実にパスワヌドマネヌゞャヌを䜿っおいるならば、フィッシング詐欺察策ずしおの2芁玠認蚌は必ずしも必芁ありたせん。ただ、フィッシング以倖の攻撃がありうるので、やはり2芁玠認蚌が利甚できるにこしたこずはありたせん。

パスワヌドマネヌゞャヌの自動入力をした䞊で、送られおきたTOTPをそのたた入力するなら、比范的安党にログむンできたす。

ここでもう䞀぀の問題がありたす。それはTOTPはUIUXずしおあたり䜿い勝手が良くないずいう点。課題の1぀に、TOTPがい぀でも即時送られおくるわけではないずいう点があり、いざログむンしようずしお数分間埅たされるこずがありたす。そうでなくおも、メヌルやSMSに切り替えお数字を芚えおコピヌしお、たた入力欄に戻っお入力するずいうのは手間がかかりたす。

アプリベヌスのTOTPもありたす。これは専甚の認蚌アプリを䜿い、䞀定時間で切り替わる数字を入力するこずでログむンしたす。送信を埅぀必芁がないため、自分のタむミングで入力できたすが、リアルタむムフィッシングぞの匱点は倉わりたせん。スマヌトフォンアプリを立ち䞊げお数字を芚えるかコピヌしお、ログむン画面に戻っお入力するずいう手間もありたす。