メディア
ニュース
» 2021年12月27日 07時00分 公開

「セブンペイ事件」から2年、ワンタイムパスワードの使いどころを再確認

認証情報を狙うサイバー攻撃が激化している。その手法は多岐にわたり、セキュリティの専門家さえ「対処のしようがない」と言うものもある。今回はサイバー攻撃に対するワンタイムパスワードの有効性を考える。

[高橋睦美,キーマンズネット]

 個人や企業を問わず、サイバー空間内でアクセスの正当性を示すための「認証」の重要度は高い。コロナ禍をきっかけに、これまでオフラインが当然とされてきたコミュニケーションやサービスもオンライン化が進み、サイバー犯罪者にとっての「狙い目」となっている。

サイバー犯罪で最も狙われる「お金の情報」、きっかけはどこから?

 従来のサイバー攻撃は、愉快犯が標的のPCを不正に操作するために、マルウェアなどを仕込むことが多かった。しかし昨今は、ECやオンラインバンキング、ペイメントサービスなどあらゆる消費のオンライン化に伴って営利目的にシフトしている。

 個人が被害にあった攻撃として記憶に新しいのが、2019年の「セブンペイ事件」だ。QRコード決済に関する認証情報が狙われ、大規模な被害が発生した。また、2020年にはゆうちょ銀行の「mijica」で認証の仕組みに関する脆弱(ぜいじゃく)性が攻撃され、不正送金が発生した。

 認証を狙う攻撃は、金融以外の法人もターゲットにしている。2018年に発生した産業技術総合研究所を狙った攻撃では、推測しやすい脆弱(ぜいじゃく)パスワードが原因でクラウド型メールシステムへの不正ログインが発生し、未公表の研究資料や個人情報が漏えいした。

 コロナ禍の影響でリモートアクセスやクラウドサービスの利用が増え、従来の境界防御や暗黙の了解に頼った信頼の仕組みに限界が来ている。例えば「Microsoft 365」や「Google Workspace」のアカウント情報を何らかの手段で入手すれば、メールやスケジュール、ドキュメントなどの情報を盗み見できる。その情報を基にすれば、ビジネスパートナーを装って現場担当者に「お金の振込先が変更されたので対応してほしい」と連絡し、不正に送金させるビジネスメール詐欺(BEC)が可能になってしまう。

「情報セキュリティ10大脅威 2021」では、個人向け/組織向けともに、金銭的な被害に関わる脅威が多くランクインしている(出典:情報処理推進機構のWebサイト)

多要素認証を取り入れても「対処のしようがない」攻撃がある

 IDとパスワードなどの認証情報を盗み取ろうとする攻撃には、SMSを利用したフィッシング詐欺の「スミッシング」などがある。また、ユーザーがIDやパスワード、メールアドレスを複数サービスで使いまわしている状況を逆手に取り、既に流出したメールアドレスを基にして別のサービスへのログインを試みる「パスワードリスト攻撃」も続いている。

 こうしたリスクを踏まえて、IDと固定パスワードだけに頼らない「二要素認証」や「二段階認証」を採用する動きも広がっている。認証情報の「使い回し」を避けるとともに、ワンタイムパスワードに代表される「固定パスワードではない方法」による認証の強化策が求められるようになった。

 しかし、EGセキュアソリューションズの徳丸 浩氏(取締役CTO)によれば「二要素認証を取り入れても、対処のしようがない攻撃がある」という。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。