アカウントで 2 要素認証を有効にすると 100% 安全になると思われるかもしれません。二要素認証アカウントを保護する最良の方法の 1 つです。しかし、2 要素認証を有効にしているにもかかわらずアカウントがハイジャックされる可能性があると聞いて驚かれるかもしれません。この記事では、攻撃者が 2 要素認証をバイパスするさまざまな方法について説明します。
二要素認証 (2FA) とは何ですか?
始める前に、2FA とは何かを見てみましょう。アカウントにログインするにはパスワードを入力する必要があることはご存知でしょう。正しいパスワードがないと、ログインできません。2FA は、アカウントに追加のセキュリティ層を追加するプロセスです。有効にすると、パスワードのみを入力してアカウントにログインできなくなります。もう 1 つのセキュリティ手順を完了する必要があります。これは、2FA では、Web サイトがユーザーを 2 段階で検証することを意味します。
読む:Microsoftアカウントで2段階認証を有効にする方法。
2FA はどのように機能しますか?
二要素認証の動作原理を理解しましょう。 2FA では、本人確認を 2 回行う必要があります。ユーザー名とパスワードを入力すると、別のページにリダイレクトされ、そこでログインしようとしている本人であることを証明する 2 つ目の証明を提供する必要があります。Web サイトでは、次のいずれかの検証方法を使用できます。
OTP(ワンタイムパスワード)
パスワードを入力すると、Web サイトでは、登録した携帯電話番号に送信された OTP を入力して本人確認を行うように指示されます。正しい OTP を入力すると、アカウントにログインできます。
即時通知
スマートフォンがインターネットに接続されている場合、すぐに通知が表示されます。 「」をタップして本人確認を行う必要があります。はい" ボタン。その後、PC でアカウントにログインします。
バックアップコード
バックアップ コードは、上記の 2 つの検証方法が機能しない場合に役立ちます。アカウントからダウンロードしたバックアップ コードのいずれかを入力して、アカウントにログインできます。
認証アプリ
この方法では、アカウントを認証アプリに接続する必要があります。アカウントにログインするときは、スマートフォンにインストールされている認証アプリに表示されるコードを入力する必要があります。
Web サイトで使用できる検証方法は他にもいくつかあります。
読む:Google アカウントに 2 段階認証を追加する方法。
ハッカーが二要素認証を回避する方法
間違いなく、2FA によりアカウントの安全性が高まります。しかし、ハッカーがこのセキュリティ層を回避できる方法はまだたくさんあります。
1] Cookie の盗用またはセッション ハイジャック
Cookie の盗用またはセッション ハイジャックユーザーのセッションCookieを盗む方法です。ハッカーがセッション Cookie を盗むことに成功すると、2 要素認証を簡単にバイパスできます。攻撃者は、セッション固定、セッション スニッフィング、クロスサイト スクリプティング、マルウェア攻撃など、さまざまなハイジャック手法を知っています。Evilginx は、ハッカーが中間者攻撃を実行するために使用する人気のあるフレームワークの 1 つです。この方法では、ハッカーはユーザーにフィッシング リンクを送信し、ユーザーをプロキシ ログイン ページに誘導します。ユーザーが 2FA を使用して自分のアカウントにログインすると、Evilginx は認証コードとともにログイン資格情報をキャプチャします。 OTP は使用後に期限切れになり、また特定の時間枠で有効であるため、認証コードをキャプチャしても役に立ちません。しかし、ハッカーはユーザーのセッション Cookie を持っており、それを使用して自分のアカウントにログインし、2 要素認証を回避できます。
2] 重複コードの生成
Google Authenticator アプリを使用したことがある場合は、特定の時間が経過すると新しいコードが生成されることをご存知でしょう。 Google Authenticator およびその他の認証アプリは、特定のアルゴリズムで動作します。ランダム コード ジェネレーターは通常、シード値から開始して最初の数値を生成します。次に、アルゴリズムはこの最初の値を使用して残りのコード値を生成します。ハッカーがこのアルゴリズムを理解できれば、簡単に複製コードを作成してユーザーのアカウントにログインできます。
3]ブルートフォース
ブルートフォース考えられるすべてのパスワードの組み合わせを生成する手法です。ブルートフォースを使用してパスワードを解読するのにかかる時間は、パスワードの長さによって異なります。パスワードが長ければ長いほど、解読に時間がかかります。一般に、認証コードの長さは 4 ~ 6 桁であり、ハッカーは 2FA をバイパスする総当たり攻撃を試みることができます。しかし今日では、ブルートフォース攻撃の成功率は低くなりました。これは、認証コードの有効期間が短いためです。
4] ソーシャルエンジニアリング
ソーシャルエンジニアリングこれは、攻撃者がユーザーの心を欺き、偽のログイン ページにログイン資格情報を入力させる手法です。攻撃者がユーザー名とパスワードを知っているかどうかに関係なく、2 要素認証をバイパスできます。どうやって?見てみましょう:
攻撃者がユーザー名とパスワードを知っている最初のケースを考えてみましょう。あなたが 2FA を有効にしているため、彼はあなたのアカウントにログインできません。コードを入手するために、悪意のあるリンクを含む電子メールを送信し、すぐに行動を起こさなければアカウントがハッキングされるのではないかという不安を抱かせます。そのリンクをクリックすると、元の Web ページの信頼性を模倣したハッカーのページにリダイレクトされます。パスコードを入力すると、アカウントがハッキングされます。
次に、ハッカーがあなたのユーザー名とパスワードを知らない別のケースを考えてみましょう。この場合も、彼はあなたにフィッシング リンクを送信し、2FA コードとともにユーザー名とパスワードを盗みます。
5]OAuth
OAuth 統合により、ユーザーはサードパーティのアカウントを使用して自分のアカウントにログインできるようになります。これは、認証トークンを使用してユーザーとサービス プロバイダーの間の身元を証明する評判の高い Web アプリケーションです。アカウントにログインするための代替方法として OAuth を検討できます。
OAuth メカニズムは次のように機能します。
- サイト A は、サイト B (例: Facebook) に認証トークンを要求します。
- サイト B は、リクエストがユーザーによって生成されたものとみなし、ユーザーのアカウントを確認します。
- 次に、サイト B はコールバック コードを送信し、攻撃者にサインインさせます。
上記のプロセスでは、攻撃者が 2FA を介して自分自身を認証する必要がないことがわかりました。ただし、このバイパス メカニズムが機能するには、ハッカーがユーザーのアカウントのユーザー名とパスワードを持っている必要があります。
これは、ハッカーがユーザー アカウントの 2 要素認証をバイパスする方法です。
2FA バイパスを防ぐにはどうすればよいですか?
ハッカーは確かに 2 要素認証を回避できますが、どの方法でも、ユーザーをだまして同意を得る必要があります。ユーザーを騙さない限り、2FA を回避することは不可能です。したがって、次の点に注意する必要があります。
- リンクをクリックする前に、そのリンクが本物であることを確認してください。これを行うには、送信者の電子メール アドレスを確認します。
- 強力なパスワードを作成するアルファベット、数字、特殊文字の組み合わせが含まれています。
- Google 認証システム、Microsoft 認証システムなどの正規の認証アプリのみを使用してください。
- バックアップ コードをダウンロードして安全な場所に保存します。
- ハッカーがユーザーの心を欺くために使用するフィッシングメールを決して信用しないでください。
- セキュリティコードを誰とも共有しないでください。
- 2FA の代替手段として、アカウントにセキュリティ キーをセットアップします。
- パスワードを定期的に変更してください。
読む:Windows コンピューターにハッカーを侵入させないためのヒント。
結論
2 要素認証は、アカウントをハイジャックから保護する効果的なセキュリティ層です。ハッカーは常に 2FA を回避する機会を得ようとしています。さまざまなハッキング メカニズムを認識し、パスワードを定期的に変更すると、アカウントをより適切に保護できます。
