二要素認証(two-factor authentication, 2FA)を破ろうとするハッカーは、ユーザーに偽のログインページを送り、ユーザー名とパスワードとセッションクッキーを盗む。
KnowBe4のチーフ・ハッキング・オフィサー(Chief Hacking Officer) Kevin Mitnick*が、そのハックをビデオで公開している(下図)。ユーザーがLinkedInを訪ねようとしたら、一字違いの“LunkedIn.com”のページを送ってログインさせ、パスワードと認証コードを捉える。そしてそれらを使って本物のサイトにアクセスしたハッカーは、セッションクッキーを入手する。そのあとハッカーは、いつまでもログインできる。これは要するに、一回かぎりの2FAコードを使って偽のログインをし、データを盗むのだ。〔*: Mitnickの著書。〕
“Kevinの友だちのホワイトハットハッカー(white hat hacker, 犯罪行為をしない研究者的ハッカー)が、ソーシャルエンジニアリングの巧妙なやり方で二要素認証をバイパスするツールを開発し、それを使うとどんなサイトでも破れる”、とKnowBe4のCEO Stu Sjouwermanは語る。“二要素認証はセキュリティの層を一つ増やすが、でもそれだけで企業を守ることはできない
コメント