結局どうすればいい？　二要素認証の安全神話を打ち砕くヤバイ攻撃を解説

　企業のインシデント報告をチェックしていると、2025年7月に建設大手の熊谷組が公開した事例が目を引きました。個人情報漏えいの可能性について発表したもので、そのきっかけは「スミッシング」とのことでした。

【画像】二要素認証の安全神話を打ち砕くヤバイ攻撃とは？【全1枚】

　スミッシングとはSMSを使ったフィッシング手口で、このインシデントは組織が貸与していた「iPhone」にスミッシングが実行され、「Apple Account」が奪われたという内容です。報告では「運送会社を名乗るショートメッセージ」によってリンクを開き、案内の通りに操作した結果、アカウントへの不正アクセスを許したとありました。

　Apple Accountを狙うフィッシングは多数報告されており、さまざまな機関からこれまでも注意喚起が発表されていました。

　Appleを装ったフィッシングは依然として多く、狙いは同じくApple Accountです。このアカウントを奪えれば、OSにひも付いた各種保存パスワードを奪うことも可能なため、攻撃者としては格好のターゲットといえるでしょう。

　熊谷組の報告はおわびがメインでしたが、該当職員を責めず、従業員全体での啓発の活性化に生かしてほしいと思います。皆さんももう一度OSにひも付くアカウントの設定を見直してみてください。

●リアルタイムフィッシングが二要素認証の安全神話を打ち砕く

　iPhoneなどのApple製品を利用するにはApple Accountの登録が必要となり、これを運用している人も多いでしょう。Appleは比較的早い段階で「2ファクタ認証」と呼ぶ、いわゆる二要素認証を必須に近い形で設定させていたので、それなりにフィッシングには強いのではないかと思っていました。しかし、最近では「リアルタイムフィッシング」と呼ばれる、攻撃者が偽のWebサイトに入力させた二要素認証のワンタイムパスワードなどを中継して破る手法が広がっています。そのため、残念ながら多くのサービスでセキュリティを強化するための二要素認証が突破可能になってしまっています。

　問題はスマートフォンのOSと密接に関わるApple Accountや「Google アカウント」「Microsoft アカウント」を奪われてしまうと、OSに保存したパスワード類も不正に“同期”ができてしまうことでしょう。加えて、メールサービスのログインIDも同様でメールボックスを奪われると、パスワードリセットのための仕組みが乗っ取られ、攻撃者がパスワード変更できてしまいます。そのために、これらのアカウントは少なくとも二要素認証をオンにすることを推奨していましたが、さらに加えて「二要素認証を正しく扱う」ことも、非常に重要になったと考えています。

　では「正しく扱う」とは具体的に何を指すのでしょうか。それは二要素認証で求められるワンタイムパスワードやSMS、プッシュ通知で送られてくるコードを、正規のWebサイトにのみ入力するという運用です。

　しかしこれは、フィッシング対策そのものの難しさと同様、人間の目だけでは区別が付きにくいという問題があります。特にリアルタイムフィッシングでは、すでにログインIDとパスワードを偽のWebサイトに入力しており、1段階目の認証でミスをしている状況です。この状況から、2段階目の画面で偽のWebサイトであると気が付くはずがありません。

　そうなると、やはり通常のフィッシングサイト対策そのものに注力しなければならないことが分かるでしょう。そもそもID／パスワードを正規のWebサイト以外には入力しなければ苦労はしないわけですが、やはり、ここでは人の目よりもITの力、「パスワード管理ソフト」が生きてくるはず、なのです。以前も触れましたが、同ツールの普及こそが今後の個人の認証を守る鍵になると思っています。

　この他、覚えてほしい攻撃の一つに「MFA疲労攻撃」があります。スマートフォンに「ログインを許可しますか？」というプッシュ通知が届き、承認ボタンを押すだけで認証が完了する、簡単で安全な二要素認証の方法があります。ログイン時に記憶情報であるパスワードをそしてスマホを持っているという所持情報の二要素を使う形ですね。

　この仕組みでは、第三者が不正にID／パスワードを奪ってログインを試みたとしても、飛んできたプッシュ通知に対して正規の利用者が許可を出さなければログインは成功しません。しかしMFA疲労攻撃は利用者が面倒になって思わずOKを押すまで、この不正ログイン行為を何度も実行します。相手を疲れさせて、OKを押すまで止めないという、人間そのものを攻撃するような手法です。これも手法を知らなければそのリスクは理解できないでしょう。

　徐々に認知度が高まっている「パスキー」は、これらの欠点を補い、簡単に安全を実装できる仕組みとして期待されています。個人的にもパスキーそのものは強固な仕組みであると考えていますが、問題は実装部分にあり、パスキーの登録フローが狙われるのではないかと予想しています。パスキー登録したデバイスを無くしたとして、「複製」するフローに悪意が向けられたとき、そのメリットを攻撃者も得られてしまうと大きな問題になるでしょう。この点については、不正の手口の共有と実装のノウハウが必要だと思います。

●狙われるのは「組織の中の個人」だから

　主にフィッシング攻撃は「個人」を狙うものだと認識されています。情報処理推進機構（IPA）の「情報セキュリティ10大脅威」の個人編でも、フィッシングに関連する脅威が多数存在します。組織編を見ると、パッと見てフィッシングに関連するような脅威はあまりないように思うかもしれません。

　しかし筆者は、組織こそ「個人の10大脅威」をしっかりと見つめ直すべきだと考えています。組織が対処すべき脅威は多数ありますが、決して個人の脅威を無視してはならず、むしろ組織の中にいる個人という従業員が狙われ、巡り巡ってランサムウェアやサプライチェーン攻撃、内部不正につながっていくと理解してください。つまり、組織はまず個人を狙う脅威を啓発し、従業員個人を守らなければならないのです。

　熊谷組のインシデントは、まず個人が狙われてそこから組織のインシデントとして発展してしまった事例です。会社が従業員を大事だと思うのであれば、やはりサイバー脅威に関しても、個人を守るためにできる限りの対策を講じる必要があります。

　昨今ではフィッシングをはじめ、ITそのものよりも「人」をだますという詐欺行為がインターネットに広がっています。これに対する最も効果的な防御策は「知る」ことだと思います。今回の事例も、企業がしっかりと自社のミスを公開し、他山の石とせよという注意喚起と捉えられるでしょう。

　組織は個人のセキュリティ意識を育てる努力をするとともに、従業員自身もセキュリティ意識を高め、個人レベルで何ができるかを考えなくてはならない時代です。それがひいては、自分自身や家族を守ることにもつながるはず。セキュリティは面倒かもしれませんが、資産を奪われるよりはマシなはず。まず、知ることから始めていきましょう。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。