パスキー認証でリアルタイムフィッシングを完全防御!フィッシング耐性の仕組みを徹底解説

なぜ従来の多要素認証では不十分なのか?

最近、お客様から「多要素認証を導入したのにフィッシング被害に遭ってしまった」という相談が急増しています。フォレンジック調査を行うと、その多くがリアルタイムフィッシング(AiTM攻撃:Adversary-in-the-Middle)による巧妙な手口でした。

従来のOTP(ワンタイムパスワード)による多要素認証は、確かにパスワードだけの認証よりも安全です。しかし、攻撃者がユーザーと正規サイトの間に入り込み、リアルタイムでOTPコードを中継する手法には無力だったのです。

実際の被害事例を見ると、中小企業の経理担当者がフィッシングメールに騙され、偽のログインページでIDとパスワードを入力した後、スマホに送信されたOTPコードまで入力してしまい、会社の口座から数百万円が不正送金された事件が発生しています。

NIST基準に基づく「フィッシング耐性」の正式定義

こうした状況を受けて、アメリカ国立標準技術研究所(NIST)が発表したSP 800-63B-4では、フィッシング耐性について明確な定義が示されました。

「利用者が偽サイトにだまされているかどうかに関わらず、認証プロトコル自体が偽の検証者(攻撃者)への認証情報(シークレットや認証器の出力)の漏洩を防ぐ能力」

つまり、ユーザーがフィッシングサイトに騙されて情報を入力したとしても、その情報だけでは攻撃者が正規サイトにログインできない仕組みが必要ということです。

従来のパスワード認証やOTP認証では、認証情報がネットワーク上を流れるため、攻撃者がそれを傍受・中継すれば悪用可能でした。これではフィッシング耐性があるとは言えないのです。

バインディング技術がフィッシング耐性の鍵

フィッシング耐性を実現するには、認証情報を「安全な通信経路」や「正規の通信相手」と暗号技術を用いて強く結び付ける「バインディング」が必要です。

バインディングには主に2つの方式があります:

1. チャネルバインディング(Channel Binding)

これは認証情報を安全な通信チャネルに結び付ける方式です。TLSなどで確立された暗号化通信路には固有の識別子(チャネル識別子)が生成されます。

認証情報はこのチャネル識別子と暗号学的に結び付けられるため、別の通信路では使用できません。街道の名前が刻印された通行手形のような仕組みです。

攻撃者がリアルタイムフィッシングを試みても、フィッシングサイトとの通信路で生成された認証情報は、攻撃者と正規サイト間の別の通信路では無効になってしまいます。

2. 検証者名バインディング(Verifier Name Binding)

こちらは認証情報を正規の通信相手の「名前」(通常はドメイン名)に結び付ける方式です。認証情報生成時に、意図した通信相手のドメイン名が暗号学的に含まれるため、別のサイトでは使用できません。

パスキー認証が実現する完全なフィッシング耐性

パスキー認証(WebAuthn/FIDO2)は、これらのバインディング技術を組み合わせてフィッシング耐性を実現しています。

パスキー認証では:
– 認証時に必ずWebサイトのドメイン名が署名データに含まれる
– 秘密鍵は認証器(スマホやセキュリティキーなど)から外部に出ない
– 生体認証や端末ロックにより本人確認が行われる

そのため、フィッシングサイトで認証を行おうとしても、ドメイン名が一致しないため認証が失敗します。攻撃者がリアルタイムで情報を中継しようとしても、暗号学的な検証により阻止されるのです。

実際のフォレンジック事例から見る導入効果

私が担当したある企業では、パスキー認証導入前は月に数回フィッシング被害の相談がありました。しかし導入後は、フィッシング攻撃は依然として発生しているものの、認証段階での被害は完全にゼロになっています。

ただし、パスキー認証も万能ではありません。認証後にマルウェアに感染したり、セッションハイジャック攻撃を受けたりするリスクは残ります。そのため、アンチウイルスソフト 0による包括的な保護や、VPN 0を使用した通信の暗号化も併用することをお勧めします。

個人・企業での具体的な対策方法

個人ユーザーの場合

主要なWebサービス(Google、Microsoft、Apple、Amazonなど)では既にパスキー認証が利用可能です。スマートフォンの指紋認証や顔認証を使って、簡単に設定できます。

設定後は、フィッシングサイトに誘導されても認証が失敗するため、被害を防げます。万が一の場合に備えて、アンチウイルスソフト 0の導入も検討してください。

企業ユーザーの場合

Azure AD(現Entra ID)やGoogle Workspaceなどでパスキー認証の段階的導入が可能です。まずは管理者アカウントから始めて、徐々に一般ユーザーに展開することをお勧めします。

また、Webサイトを運営している企業は、Webサイト脆弱性診断サービス 0により脆弱性を定期的にチェックし、フィッシングサイトの模倣を困難にする対策も重要です。

まとめ:次世代認証技術への移行が急務

リアルタイムフィッシング攻撃の巧妙化により、従来の多要素認証では不十分な時代になりました。NIST基準に準拠したフィッシング耐性を持つパスキー認証への移行が、個人・企業問わず急務となっています。

バインディング技術による暗号学的な保護により、ユーザーが騙されてもシステムが被害を防ぐ「ゼロトラスト認証」の時代が到来したのです。

一次情報または関連リンク:
元記事:日経xTECH

タイトルとURLをコピーしました