今年に入ってから、私たちCSIRTのもとには「多要素認証を使っていたのに不正アクセスされた」という相談が急増しています。かつては「パスワード+SMS認証」や「パスワード+ワンタイムパスワード」で安全だと思われていた多要素認証が、巧妙なリアルタイムフィッシング攻撃によって突破されているんです。
そんな中、セキュリティ業界で注目を集めているのが「フィッシング耐性」を持つパスキー認証。今回は、なぜ従来の多要素認証では不十分なのか、そして次世代認証技術であるパスキーがどのようにフィッシング攻撃を根本から防ぐのかを詳しく解説します。
なぜワンタイムパスワードでも突破されるのか?
「ワンタイムパスワードは使い捨てだから安全」―そう思っていませんか?実は、最新のリアルタイムフィッシング攻撃では、この認識が通用しなくなっています。
先月、私が対応した中小製造業の事例では、経理担当者がフィッシングサイトに誘導され、銀行のログイン情報とSMS認証コードを入力。攻撃者はそれをリアルタイムで正規サイトに転送し、わずか数分で数百万円を不正送金されました。
この手法の恐ろしい点は、被害者が正しい認証情報を入力していること。偽サイトだと気づかずに、パスワードもワンタイムパスワードも「正解」を入力してしまうため、従来のセキュリティ対策では防ぎようがないんです。
NISTが定義する「フィッシング耐性」とは?
こうした状況を受けて、米国立標準技術研究所(NIST)は「NIST SP 800-63B-4」ガイドラインで、フィッシング耐性について明確な定義を示しました。
「利用者が偽サイトにだまされているかどうかに関わらず、認証プロトコル自体が偽の検証者(攻撃者)への認証情報(シークレットや認証器の出力)の漏洩を防ぐ能力」
つまり、ユーザーがフィッシングサイトに騙されて認証情報を入力しても、その情報が攻撃者に悪用されない仕組みこそが、真のフィッシング耐性なのです。
従来の認証方式の限界
パスワードやOTPなどの「認証情報をユーザーが入力してネットワークに流れる方式」は、フィッシング耐性があるとは認められません。なぜなら、攻撃者がその認証情報を盗み出せば、正規サイトへ不正ログインできてしまうからです。
実際のフォレンジック調査でも、攻撃者が盗んだ認証情報を使って正規サービスにログインし、長期間にわたって不正活動を継続していたケースを多数確認しています。
フィッシング耐性を実現する「バインディング」技術
フィッシング耐性を実現するには、認証情報を「安全な通信経路」や「正規の通信相手」といった検証できる要素と、暗号技術を用いて強くひも付ける必要があります。この強いひも付けを「バインディング」と呼びます。
1. チャネルバインディング(Channel Binding)
チャネルバインディングは、安全な通信経路(チャネル)に認証情報をひも付ける方式です。
例えるなら、通行できる街道(通信チャネル)が刻印された通行手形(認証情報)で本人確認するようなもの。正規のユーザーと検証者(正規のWebサイト)との間でTLSなどを使って安全な通信チャネルを確立し、そのチャネル固有の識別子と認証情報を暗号技術でひも付けます。
この仕組みにより、攻撃者がリアルタイムフィッシングを使っても認証情報を中継できなくなります。フィッシングサイトで詐取した認証情報は、ユーザーと攻撃者間の通信チャネルにひも付けられているため、攻撃者が正規サイトで悪用することができません。
2. 検証者名バインディング(Verifier Name Binding)
もう一つの方式が、正規の通信相手の「名前」に認証情報をひも付ける検証者名バインディングです。この方式こそが、パスキー認証で採用されている技術なのです。
パスキー認証がフィッシング攻撃を根本から防ぐ理由
パスキー認証では、認証情報が特定のドメイン名(Webサイトの住所)と暗号技術で強くひも付けられています。そのため、攻撃者が偽サイトでパスキー認証を要求しても、認証器(スマートフォンやセキュリティキーなど)は応答しません。
つまり、ユーザーがフィッシングサイトに騙されても、技術的に認証が成立しないという画期的な仕組みなのです。これまでのようにユーザーの判断力に依存せず、システムレベルでフィッシング攻撃を防げるため、「根本的な解決策」と言われています。
個人・企業が今すぐできる対策
個人向け対策
個人の方は、まず基本的なセキュリティ対策を徹底することが重要です。フィッシングメールの添付ファイルや不審なリンクからアンチウイルスソフト
が必要になるマルウェアに感染するケースも多いため、信頼性の高いセキュリティソフトの導入をお勧めします。
また、公共Wi-Fiを利用する機会が多い方は、通信を暗号化するVPN
の活用も検討してください。フィッシング攻撃の多くは、攻撃者が設置した偽のWi-Fiアクセスポイントを経由することがあるためです。
企業向け対策
企業の場合、Webサイトやシステムの脆弱性が攻撃の入り口となることが多いため、定期的なWebサイト脆弱性診断サービス
の実施が欠かせません。特に、顧客の認証情報を扱うシステムでは、フィッシング攻撃に対する耐性も含めた包括的なセキュリティ診断が必要です。
また、従業員向けのセキュリティ教育では、「多要素認証があるから安全」という思い込みを改め、最新のフィッシング手法について継続的に啓発することが重要です。
パスキー認証の導入を検討すべき理由
現在、Google、Apple、Microsoft、Amazon等の主要プラットフォームでパスキー認証が利用可能になっており、導入のハードルは格段に下がっています。特に以下のような特徴がある方は、早急な導入を検討することをお勧めします。
- オンラインバンキングを頻繁に利用する方
- クラウドサービスで重要なデータを管理している方
- ECサイトでクレジットカード情報を保存している方
- リモートワークで会社システムにアクセスする方
これらの用途では、従来の多要素認証の限界が特に顕著に現れるため、フィッシング耐性を持つパスキー認証の効果を実感できるでしょう。
まとめ:次世代認証への移行は必然
リアルタイムフィッシング攻撃の脅威が高まる中、従来の多要素認証に頼った防御策では限界があることが明確になってきました。NISTが定義するフィッシング耐性を持つパスキー認証は、ユーザーの判断ミスに依存しない、システムレベルでの根本的な解決策といえます。
フォレンジックアナリストとして多くのサイバー攻撃事例を分析してきた経験から言えることは、攻撃者は常に最新の手法を使ってくるということ。だからこそ、私たち防御側も最新の技術を積極的に取り入れていく必要があるのです。
パスキー認証への移行は、単なる技術の進歩ではなく、サイバーセキュリティの根本的なパラダイムシフトです。今後数年のうちに、多くのサービスでパスキー認証が標準化されると予想されるため、早めの理解と準備をお勧めします。
一次情報または関連リンク
