おれさまラボの実験ノート

実際に手を動かして理解を深めるブログ。

メモ:二段階認証を突破する攻撃手法

はじめに

以下記事で「二段階認証を突破する攻撃手法」が載っていました。知らなかったのでメモしておきます。

enterprisezine.jp

二段階認証を突破する手法

若干ごちゃつきましたが、簡単に絵にまとめてみました。

f:id:naoto408:20200119143551p:plain
STEP-1

まずは、従来でも見られたID/パスワードを窃取する手法。

詐欺メールやSMSをユーザーに送りつけ、偽サイトに誘導する。

SMSやメールのメッセージには「セキュリティ強化のため、こちらをクリックしてください」などと書かれており、騙されたユーザーは攻撃者の用意した偽サイトへ誘導される。

誘導先には正規サイトによく似たログインフォームが用意されており、ユーザーはID/パスワード情報を入力してしまう。

これで、攻撃者のもとにパスワード情報が渡る。

f:id:naoto408:20200119143618p:plain
STEP-2

ここからが、二段階認証突破のための新しい攻撃手法。

ユーザーには、一時的に「処理中」のような画面を表示することで待たせておく。

その裏で、攻撃者は入手したID/パスワード情報を使って正規サイトへログインする。

ユーザーは二段階認証を有効にしているので、本来であれば攻撃者はここで躓く。

しかし、この手法では、攻撃者がID/パスワードを入力したあとに、ユーザーに見せている「処理中」ページが偽のワンタイムパスワードの入力画面へと切り替わる。

ユーザーには正規サイトから二段階認証用のコードが届いているので、ユーザーはそれを偽のワンタイムパスワード入力画面へ入力する。

すると、偽サイトから攻撃者のもとにワンタイムパスワードが届くため、攻撃者は窃取したワンタイムパスワードを使って正規サイトへとログインする。

おわりに

なるほど。賢いですね。

二段階認証だからといって「安全」とは言い切れないようです。

以上