多要素認証は突破される。ならば、どう備えるか? 第1弾
- chief7610
- 5月19日
- 読了時間: 5分
更新日:6月18日
問題提起編
2025年、証券口座乗っ取り被害が止まらない理由 ~多要素認証の限界と次世代セキュリティへの道筋~
第1弾:問題提起編
第2弾:業界動向分析編
第3弾:ユーザー体験重視編
第4弾:技術哲学編
第5弾:業界提言編
こんにちは、皆さん。今日はちょっと重たい話になってしまいますが、どうしても皆さんにお伝えしたいことがあります。
最近、証券口座の乗っ取り被害のニュースを見る度に、心が痛みます。特に退職金を狙われた高齢者の方々の話を聞くと、同世代として他人事ではありません。私たちの世代の中には長年働いて築いた大切な資産を、老後の安心のために投資に回している方にとっては、取り返しがつかないと思われる被害だからです。
業界の取り組みと現実のギャップ
実は、金融業界も手をこまねいているわけではありません。日本証券業協会のホームページをみると、多要素認証(MFA)の導入を宣言している証券会社が公表されているだけでなく、多要素認証の仕組みが証券会社から提供されているなら、必ず使用するようにとの記載があります。
これは素晴らしい取り組みだと思います。
ところが、この公表の後も被害は減っていないのです。なぜでしょうか?
答えは簡単で、一部のサイバー攻撃には効果が無いからです。今の悪い人たちは、RTPP攻撃(Real-Time Phishing Proxy)という手法を使って、多要素認証すら突破するからです。まるでスパイ映画のような話ですが、これが現実なのです。
お年寄りを狙う卑劣な手口
特に腹立たしいのは、攻撃者が意図的に高齢者を狙っている節があるようにおもえるののです。「ITリテラシーが低いから騙しやすい」という理由なんでしょうが、長年働いて築いた大切な資産を狙うなんて、許せません。いつの時代も弱者が最も被害を受けると言われていますが、今の時代、ITリテラシー不足は、それだけで多くの不利益を被っていると言える時代であることも事実です。例えば、より安くホテルや旅館を予約する方法も知らないし、電子クーポンの入手の方法や使用方法も良くわからないし、みどりの窓口を使うことなく新幹線のチケット購入する方法や、交通機関の半額キャンペーンが開催されていて、QRコードで利用する方法も知りません。
ようやくLineが使えるようになったかなっていう世代に、メールやSMSで通知されたことを疑うことは非常に難しいです。
でも、考えてみてください。シニアの方々が若い頃、パソコンもスマートフォンもありませんでした。それなのに、今になって複雑なセキュリティ手順を覚えろと言われても、無理がありますよね。
インフォスティーラーという新たな脅威
最近は「インフォスティーラー」という進化を続けているマルウェア(コンピュータやスマートフォンなどのデバイスや社内ネットワーク自体に損害を与えたり、不正に情報を窃取したりする悪意のあるソフトウェアの総称です。ウイルス、ワーム、トロイの木馬、ランサムウェアなどが含まれます)も大きな脅威です。これは、ブラウザに保存されたパスワードやセッション情報(ログイン認証が正しく実行されましたという情報)を根こそぎ盗む悪質なソフトです。
怖いのは、ユーザーが何も悪いことをしていなくても、知らないうちにパソコンに感染して、大切な情報が盗まれてしまうことです。まるで泥棒が見えないマントを羽織って、住民と一緒に家に忍び込んで、金庫の暗証番号まで見て、金庫の中身を持ち出していくようなものです。
検知・対応の限界
現在のセキュリティ対策の多くは、「攻撃を検知して対応する」という考え方に基づいています。この方法の根本的な弱点は、新しい攻撃手法に対して弱いことです。当然ですよね。新しい攻撃は検知方法を見つけていないのですから。たとえ、攻撃の種類と手法を知っていたとしても、攻撃者の方が一歩先を行っていると、この方法だけでは限界があります。
そして、検知して対応するというのは、まるで泥棒が入ってから警備員が駆けつけるようなもので、その間に大切なものが盗まれてしまいます。
求められるパラダイムシフト
この業界を長く見てきた者からの意見ですが、今こそ発想を変える時だと確信しています。「攻撃を検知して対応する」のではなく、「そもそも攻撃を成立させない」という予防的なアプローチが必要です。すべてのマルウェアに効果があるアプローチであるとは言えませんが、一部の攻撃に対しては効果がある考え方だと思います。
例えると、家に鍵をかけて、家の中の金庫で大切なものを保管するという考え方ではでなく、泥棒が近づけない場所に大切なものを保管するような考え方です。
希望の光
でも、悲観的になる必要はありません。技術の進歩は目覚ましく、新しい解決策も生まれています。特に、スマートフォンの普及によって、今までになかった安全な方法が可能になってきました。
スマホをお持ちのお年寄りやシニアなら、誰でも直感的に使えて、しかも攻撃者(悪者)が手も足も出ないような、そんなセキュリティが実現できる日も近いと思います。
次回は、なぜ最新技術でも完全ではないのか、具体的に見ていきたいと思います。皆さんの大切な資産を守るために、一緒に考えていきましょう。
第1弾:問題提起編
第2弾:業界動向分析編
第3弾:ユーザー体験重視編
第4弾:技術哲学編
第5弾:業界提言編
Comments