【セキュリティ】電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない

2021-12-14 2021-12-14

電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない

ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。
パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。

Bypassing 2FA - Secret double octopus
https://doubleoctopus.com/blog/threats-and-alerts/bypassing-2fa/

（以下略、続きはソースでご確認ください）

Gigazine 2021年12月12日 20時00分
https://gigazine.net/news/20211212-bypassing-2fa/

引用元: ・【セキュリティ】電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない [すらいむ★]

2: 名無しのひみつ 2021/12/13(月) 10:04:22.01 ID:plIlADeA

ハッカーってどんだけすごいの？

5: 名無しのひみつ 2021/12/13(月) 10:22:14.83 ID:OqgobkCJ

>>2
>>1 もそうだけど、ハッカーの誤用

12: 名無しのひみつ 2021/12/13(月) 10:43:29.09 ID:0Bn9Grjf

>>2
ハッカーよりもすごいのは、
シークレットダブルオクトパスのOctopusAuthenticator
です。買ってください！

>>4
> パスワードレス認証を事業にしてる企業の広告やんけ
黙ってろ

>>6
> なら、どうしろって感じだが
いい製品がありますよ？買いませんか？

26: 名無しのひみつ 2021/12/13(月) 12:11:07.79 ID:h842mmA/

>>2
物理的な攻撃対象が判れば
100%突破する

56: 名無しのひみつ 2021/12/13(月) 18:15:02.77 ID:SD9gjne9

>>2
対人戦だから必ず新しい 0 day attack というガード不能連携を用意してくるぞ

60: 名無しのひみつ 2021/12/13(月) 21:53:45.15 ID:nT9+ZEBf

>>2
どんな秘密もハッカーまで持っていくって言うだろ

4: 名無しのひみつ 2021/12/13(月) 10:21:53.82 ID:/QEpA9Ss

パスワードレス認証を事業にしてる企業の広告やんけ

6: 名無しのひみつ 2021/12/13(月) 10:23:33.81 ID:Z/wfMnyo

なら、どうしろって感じだが

7: 名無しのひみつ 2021/12/13(月) 10:30:59.01 ID:SxfNrW2P

もうスマホに物理キー付けようぜ

8: 名無しのひみつ 2021/12/13(月) 10:37:49.81 ID:cRJPgPQm

んー、要はフィッシングで破ってるだけで
あんまりクラッカーらしさが感じられないなｗ

9: 名無しのひみつ 2021/12/13(月) 10:39:52.28 ID:0Bn9Grjf

ブラウザ攻撃の男がすごいってことはよくわかった

11: 名無しのひみつ 2021/12/13(月) 10:42:21.18 ID:7gnrjdHc

認証コードの送信元が本物かどうか認証コードを送って確認させよう

14: 名無しのひみつ 2021/12/13(月) 10:50:50.64 ID:ABfep5mo

わかった、ハッカはやめて、ニッキかシナモンにするわ

16: 名無しのひみつ 2021/12/13(月) 10:54:25.26 ID:FOORHQNW

FAXで送るか
伝書鳩使え

17: 名無しのひみつ 2021/12/13(月) 10:58:26.92 ID:wO9lcFUJ

やっぱり紙にハンコが最強なんだよ
これならハッカーも手が出ない (^_^)

18: 名無しのひみつ 2021/12/13(月) 11:02:25.94 ID:POrKMPVN

>>1
「ブラウザを乗っ取られたら2要素認証は危険です、
だから弊社のソリューションを使いましょう！」

いやブラウザ乗っ取られた時点で完全に終わってんだろ
認証だけ安全でも意味ないってのw
アホじゃねーのか

19: 名無しのひみつ 2021/12/13(月) 11:15:21.78 ID:YuRxo7hD

安全の種類が違うだろ
偽サイトなんだから

20: 名無しのひみつ 2021/12/13(月) 11:15:58.65 ID:jEflSjVY

いまのところトークンがもっとも安全じゃないの？
電話番号に届くって一番恐怖？を感じていたんだが・・
要するにSMSだろ。番号バレバレじゃないか！といつも思っていたわ。
トークンは電池交換がなんちゃらで廃れたが電卓と同じように交換
出来る構造にすればいいだろうにと思うんだが～。しかもトークンは
製造するコストが掛かるため廃止した理由なんだろうね。
希望者には2000円で頒布とか、電卓より高額、ぼったくりかよーとおもふ。

25: 名無しのひみつ 2021/12/13(月) 12:03:51.17 ID:rUPhV0Ij

>>20
同意。持ち運びとか面倒だけど、表示端末が通信機能を持たず
スタンドアロンで稼働しているメリットは大きい。

30: 名無しのひみつ 2021/12/13(月) 13:30:31.20 ID:piO4g6wq

>>20
ハードウェアトークンもソフトウェアトークンもSMSも、
なんならメールへのワンタイムパス送付も、セキュリティ強度は同じ

番号が攻撃者にバレたところで何の影響もない
それで問題になる1のような手法だと、そもそもどんな二要素認証でも突破されるが…偽のサイトでバイパスって現実的じゃないよなぁ

21: 名無しのひみつ 2021/12/13(月) 11:35:56.31 ID:1Et+tTs7

ブラウザ乗っ取れるなら銀行襲えば何千兆で大事件だ。

22: 名無しのひみつ 2021/12/13(月) 11:40:22.27 ID:q3pk5u5k

アカウントから二要素目の電話番号をクラックするのかと思ったけど
単純なフィッシング詐欺じゃん

23: 名無しのひみつ 2021/12/13(月) 11:45:14.14 ID:Y+Q+4VZq

カウンター攻撃する組織を作らんとダメ

24: 名無しのひみつ 2021/12/13(月) 11:57:49.12 ID:8wLU1Sop

乗っ取られないブラウザ　または乗っ取られない方法あるのか？

27: 名無しのひみつ 2021/12/13(月) 12:33:33.11 ID:Bj8M/vcC

深夜に偽造simで瞬間芸やれば行けちゃうだろ

29: 名無しのひみつ 2021/12/13(月) 12:56:22.38 ID:PuDVN196

はい　論破

・ハッカーはまず、ユーザーに「お客様のユーザーアカウントが不審なIPアドレスからのアクセスを受けました。確認のため、電話番号に送信された認証コードを返信してください」といったメッセージを送信する。
・ハッカーは次に、ユーザーの代わりにIDとパスワードを入力して侵入したいサービスにログインする。
・サービスは、正規ユーザーからログインされたと勘違いしてユーザーに2FA用の認証コードを送る。
・ユーザーがその認証コードをハッカーに返信してしまう。

シナリオ2：ハッカーがまだIDやパスワードを持っていない場合
・ハッカーは最初に、正規のサービスからのメールに見せかけた巧妙なメールをターゲットに送る。

42: 名無しのひみつ 2021/12/13(月) 14:58:05.29 ID:qIBFYTRg

>>29
最初のコードを返信するやついるか？
って100人送れば1人ぐらいいるから破られるんだろうな

31: 名無しのひみつ 2021/12/13(月) 13:33:29.10 ID:xAX37NM3

1セッション2FAがだめなら2セッション2FAにすればいいじゃない

33: 名無しのひみつ 2021/12/13(月) 13:34:49.41 ID:qlpOCzoj

クソゴミ認証

34: 名無しのひみつ 2021/12/13(月) 13:37:15.05 ID:TTre21wS

おまえら、メルカリのアプリで免許証持って顔写真撮影したの？

35: 名無しのひみつ 2021/12/13(月) 13:38:59.77 ID:cZavbI47

マンインザミドルを前提にするとどんなセキュリティでも担保出来ないというのは置いておき、
本人がその場で発行する必要があるので強度は同じだと思うけど、
電話での認証だとメッセージ経由でフィッシングに引っ掛かりやすいってのはあるかもね。多少無理感はあるが。

37: 名無しのひみつ 2021/12/13(月) 14:09:43.16 ID:Rg5auYlp

>>35
アホ
MITMならIPアドレス違うのだからEV SSL証明で見分けられる
ブラウザがクラックされて上記を偽装されてるなら、そもそもクラック被害を受けているから詰み

36: 名無しのひみつ 2021/12/13(月) 13:41:14.87 ID:HWtAwliv

記事最後まで読んだらただの宣伝だった
やられたわw

38: 名無しのひみつ 2021/12/13(月) 14:10:23.13 ID:6RDY1dIT

パスワードという知識要素以外に他の要素も組み合わせるから二要素認証として
セキュリティが高まるんであって、その要素が「認証番号」じゃあ片手落ちなんだよね
結局パスワード2つ入力させる程度の役にしか立ってない

39: 名無しのひみつ 2021/12/13(月) 14:32:20.24 ID:u1lduU/z

霞ヶ関と間違って霞ヶ浦が標的になったときは、ハッカーは誤爆を謝ってたよね。

40: 名無しのひみつ 2021/12/13(月) 14:39:39.93 ID:nVBtQhpB

ウワッチ・・・
つい1週間ほど前にやっちまったわ。
美術館の特別展が密を防ぐと言うので厳密な入場制限と予約優先やってて電話番号に届いたショートメールの暗証番号を打ちこんでしまったわ。

その時から15億4千万円当選しましただの寂しい熟女だの家出少女だのスパムメールが再び

41: 名無しのひみつ 2021/12/13(月) 14:44:35.99 ID:Vpwis4jD

３要素になるの？

43: 名無しのひみつ 2021/12/13(月) 14:59:06.79 ID:50AlUov2

とっくに変わっているじゃん。
認証コードの入力ではダメ。

携帯電話そのものを手に持っていて、はいを押さないとダメになった。
ハッカーは、電話そのものがないから、はいを押せないじゃんw

44: 名無しのひみつ 2021/12/13(月) 15:10:10.68 ID:4BNfUri9

ＦＡＸ最強伝説

47: 名無しのひみつ 2021/12/13(月) 16:18:55.71 ID:oWzP2jaw

電話番号なんて怖くて一度も登録したこと無いです

49: 名無しのひみつ 2021/12/13(月) 16:24:02.54 ID:4aKwZwGX

なんか内容が微妙だなと思ったらPR記事かよ
例として挙げられてる方法がどれもあまり現実的ではない

50: 名無しのひみつ 2021/12/13(月) 16:29:02.20 ID:czfoYzTR

これ無駄に思えるし不便なことこの上ない

51: 名無しのひみつ 2021/12/13(月) 16:38:06.71 ID:kX+9VP4m

SMSってGSM経由することがあるから元々安全じゃないけど、それ以前にフィッシングで本人から聞き出せばどうにでもなるわな

52: 名無しのひみつ 2021/12/13(月) 17:25:21.56 ID:mwu9jNrr

石版にしようぜ！

54: 名無しのひみつ 2021/12/13(月) 17:51:26.62 ID:+cAtwTa3

グーグルのやつめんどくさい

55: 名無しのひみつ 2021/12/13(月) 17:56:16.64 ID:rF4iXINa

使いまわしてないパスワードなら
変える必要ないのに
相変わらず定期的に変えろと
アナウンスしてくるとこ多いな

58: 名無しのひみつ 2021/12/13(月) 19:42:08.03 ID:/uweS13Z

2段階認証に脆弱性があるんじゃなくて、2段階認証で安心してるユーザーを
騙す手口があるってだけの話だった。

59: 名無しのひみつ 2021/12/13(月) 20:03:08.32 ID:NAcUt+1p

これ迷惑　外国で使えない

61: 名無しのひみつ 2021/12/13(月) 21:57:50.38 ID:1xvn4qaI

ソース見てやっぱりなーって思ったけど、保険なんて入ってないのにアフラックからメールが何件も入ってたんだよね
親が勝手に入ってるのかとちょっと思ったけど、そのメアドって親に教えてないんだわ
凄くよく出来てたけど、フィッシングメールだったんだな

ページトップ
ホーム