| フィッシング耐性のある多要素認証とは?仕組みや重要な理由をわかりやすく解説 | |
|---|---|
| 作成日時 26/02/12 (08:40) | View 42 |
多くの企業が、巧妙化するフィッシング攻撃への対応に頭を悩ませています。かつて、もしくは今でも「多要素認証(MFA)を導入すれば万全」と考えられていますが、現実はそう甘くありません。
精巧な偽サイトを用いて認証情報とOTPを盗むAiTM攻撃、大量のプッシュ通知でユーザーの判断を誤らせるMFA疲労攻撃など、攻撃者はMFAの多要素認証の脆弱な部分を突く手法を次々と生み出しています。
こうした脆弱性の本質は、認証が盗まれ得る情報、つまりパスワードや使い捨てコードに依存している点にあります。本記事では、たとえ情報が盗まれても不正アクセスを防ぐ、フィッシング耐性のある多要素認証の仕組みや重要性を解説します。
フィッシング耐性とは、認証情報が盗まれても不正アクセスを許さないシステムの仕組みや能力のことです。
従来の対策は、従業員教育によって不審なメールや偽サイトを見分けさせるアプローチが主流であり、実際に有効でした。しかし現在では、AIや自動化ツールによって、本物と見分けがつかないフィッシングサイトやメールが瞬時に作られます。
そこで必要なのが、パスワードや認証コードなどの認証プロセス自体が盗まれやすい情報に依存しない仕組みです。たとえ偽サイトに情報を入力しても、それを本物のサービスで再利用されることがないよう、リプレイ攻撃を技術的に防ぐ構造が欠かせません。
つまり、ユーザーが騙されることを前提にしても破られない、設計レベルでの安全性がフィッシング耐性の本質です。
関連記事
【2025年最新版】AIを悪用したサイバー攻撃の事例と対策ポイント
多要素認証を導入すれば十分という誤解は、組織をフィッシング攻撃の脅威にさらす要因になりかねません。多要素認証をフィッシング耐性の観点から分類すると、そこには明確な強弱の差が存在します。この違いを理解することが、自社のセキュリティ力を正しく評価するうえで重要です。
弱い耐性を持つ多要素認証は、認証情報が第三者に渡り得る問題があります。
代表的な例として、SMSによるワンタイムパスワード(OTP)、認証アプリによる時間ベースのOTP(TOTP)、プッシュ通知型の承認方式などが挙げられます。
これらの方式は、一見すると安全に見えますが、攻撃者が精巧なフィッシングサイトを使えば、ユーザーから認証コードを騙し取ることが可能です。盗まれたコードは、攻撃者によって即座に本物のサイトで再利用されます。
これは中間者攻撃(AiTM)と呼ばれます。また、プッシュ通知では、偽サイトでログインを試みたタイミングに合わせて本物のサイトから通知が送られ、ユーザーが無意識に承認してしまうMFA疲弊攻撃も起こり得ます。
いずれの方式も、ユーザーの操作や認証情報がネットワーク上を流れるため、フィッシングへの技術的な耐性には限界があります。
強い耐性を持つ認証方式は、認証情報がデバイスの外に出ず、特定のウェブサイトにしか通用しない仕組みによって、フィッシングを根本から防ぎます。代表例がFIDO2(WebAuthn)やパスキーです。
これらの技術は公開鍵暗号を用いており、パスワードや認証コードといった共有される秘密を必要としません。代わりに、ユーザーのデバイス内に格納された秘密鍵を使って署名を行い、それがドメイン(本物のURL)と結びついています。偽サイトで操作しても、その署名は攻撃者のサイトにしか通用せず、本物のサービスでは無効です。
重要なのは、攻撃者が盗むべき情報が存在しないということ。秘密鍵はデバイス外に出ることなく、認証には生体情報、PIN、物理キーのタップといったユーザーの存在証明が不可欠です。この仕組みにより、中間者攻撃やMFA疲弊攻撃といった手口は実質的に通用しなくなります。
本質的なセキュリティ強化を目指すなら、導入すべきはこの「強いフィッシング耐性」を備えた認証技術です。
関連記事
多要素認証(MFA)の種類と選び方:初心者にもわかりやすく徹底解説
多要素認証と二段階認証・二要素認証の違いをわかりやすく解説
多要素認証は、パスワードが漏えいしても不正アクセスを防ぐ最後の砦と見なされていました。
しかし現実には、攻撃者は常に新たな突破口を模索しており、既存のMFAをすり抜ける手法も登場しています。これらの攻撃の実態を理解することが、次に取るべき対策、すなわちフィッシング耐性の高いMFAの導入へとつながります。
以下では、多要素認証を突破する主なサイバー攻撃を紹介します。
AiTM攻撃(中間者攻撃)とは、単にパスワードを盗むのではなく、ワンタイムパスワード(OTP)やセッションクッキーなど、認証全体をリアルタイムで奪い取る高度な攻撃です。
たとえば、攻撃者はMicrosoft 365やGoogle Workspaceの偽サイトをプロキシとして構築します。ユーザーが誘導されてログイン情報を入力すると、それは即座に本物のサービスに転送され、MFAが要求されます。
スマートフォンに届いた認証コードやプッシュ通知をユーザーが入力または承認すると、攻撃者はその情報を使って正規のサービスにログインし、セッションを乗っ取る流れです。わずか数秒で完了するこの攻撃により、ユーザーが認証に成功したと認識した時点で、すでに不正アクセスが成立しています。
AiTM攻撃は、共有秘密(パスワードやOTPなど)に依存するMFAの脆弱性を突いた、きわめて実効性の高い攻撃です。
もう一つの脅威が、プッシュ通知型MFAを標的にしたプッシュボンバーまたはMFA疲弊攻撃です。
この手法では、攻撃者があらかじめ盗んだIDとパスワードを使って、対象ユーザーのアカウントに大量のログイン試行を仕掛けます。ユーザーの端末には何十回、何百回とプッシュ通知が届き、深夜や早朝といった注意力が低下しがちな時間帯を狙って疲弊させます。
その結果、「誤って承認してしまった」「通知を止めたくて押した」といったヒューマンエラーを誘発し、不正アクセスが成立します。
これは技術的な脆弱性ではなく、ユーザーの心理的負荷を突く攻撃です。MFAの承認操作が「単なるYes/Noの確認作業」として形骸化している現実を浮き彫りにしています。
このような攻撃を防ぐには、ユーザーの判断に依存しない、技術的に堅牢な認証プロセスへの転換が不可欠です。
フィッシング耐性のある多要素認証(フィッシング耐性MFA)とは、AiTM攻撃やMFA疲弊攻撃のような高度な脅威を、技術的に無効化する次世代の認証方式です。
フィッシング耐性MFAの根幹は、パスワードレス認証にあり、FIDO2やパスキーに代表される公開鍵暗号方式がその技術基盤です。わかりやすく言えば、金融機関での実印と印鑑証明の関係に近い仕組みです。
ユーザーがサービスに初めて登録する際、デバイス(スマートフォン、PC、セキュリティキーなど)上で、秘密鍵と公開鍵のペアが生成されます。秘密鍵はデバイスの安全領域に格納され、外部に漏れることはありません。これが実印にあたります。
一方、公開鍵はサービス提供者側に登録され、印鑑証明の役割を果たします。ログイン時には、パスワードやコードの代わりに、ユーザーのデバイスが秘密鍵を使って、対象のドメイン情報を含む一意のデジタル署名を生成します。
サーバーは、登録された公開鍵を使って次の2点を検証します。
l 署名が、正規の秘密鍵によって作成されたものであること
l 署名が、そのサービスのドメインに対して発行されたものであること
この仕組みにより、たとえ偽のログイン画面で認証操作を行っても、その偽サイトのドメイン情報にもとづいた署名が生成されるため、本物のサービスでは通用しません。さらに、秘密鍵がデバイス外に出ることはないため、AiTM攻撃のように認証情報を傍受されるリスクが構造的に排除されます。
こうした設計による安全性こそが、フィッシング耐性MFAの最大の特徴であり、今まさに注力すべきセキュリティ対策です。
世界に目を向けると、フィッシング耐性のある多要素認証は、もはや「あると望ましい」対策ではなく、不可欠なセキュリティ基盤として位置づけられています。その背景には、防御力だけでなく、利便性を両立させる技術的優位性があります。
米国のCISA(サイバーセキュリティ・社会基盤安全保障庁)、NIST(国立標準技術研究所)、そしてOMB(行政管理予算局)の覚書M-22-09など、セキュリティ政策の指針を示す機関が、フィッシング耐性MFAの導入を必須または強く推奨している点は、この技術の重要性を裏付けるものです。
フィッシング耐性のある多要素認証が重要な理由は以下の通りです。
従来のパスワードやOTPは共有される秘密として、常に盗難や再利用のリスクを伴っていました。
フィッシング耐性MFAでは、認証に用いる秘密鍵がデバイス内に厳重に保管され、外部に出ることはありません。攻撃者が盗み出して悪用できる情報自体が存在しないため、フィッシング攻撃の根本的な成立要件を排除します。
弱い多要素認証が突破される最大の原因は、ユーザーが偽サイトと本物を見分けられないことに加え、システム側も入力された情報の出所を識別できない点にあります。
フィッシング耐性MFAでは、デジタル署名がアクセス先のドメイン情報と結びついており、偽サイトで生成された署名は本物のサイトでは無効となります。これにより、ユーザーの判断に依存しない、技術ベースの防御が実現されます。
プッシュ通知型の多要素認証は、ただ「OK」をタップするだけという簡便さゆえに、MFA疲労攻撃に悪用される余地がありました。一方で、フィッシング耐性MFAでは、指紋認証、顔認証、物理キーのタップといった、意識的かつ能動的な操作を求めます。真夜中に大量の通知が届いたとしても、誤操作による認証ミスは起こりにくく、受動的な攻撃を防ぎます。
さらに、利便性の面でも大きなメリットがあります。
Microsoftの調査によれば、パスワードによるサインインは平均24秒を要しますが、パスキーを使ったサインインは約8秒で完了するとのこと。パスワードの入力やコードの待機といった手間が不要で、生体認証や物理キーの操作だけで高速かつ直感的に認証が完了します。
この安全かつスムーズな認証体験は、ユーザーの生産性向上にも直結します。
フィッシング耐性MFAの導入を検討するにあたって生じる疑問に対し、簡潔にお答えします。
A:フィッシング耐性とは、認証情報が盗まれても不正アクセスを許さないシステム設計の特性です。人間の注意力に依存せず、技術によってフィッシング攻撃を無効化します。
A:弱い耐性は、SMS-OTPやプッシュ通知など、情報が盗まれ再利用されるリスクを持つ方式です。一方、強い耐性を持つFIDO2やパスキーは、秘密鍵がデバイス内にとどまり、フィッシングを構造的に防ぎます。
A:MFAは重要な対策ですが、方式によってはAiTM攻撃などにより突破される可能性があります。現在は、フィッシング耐性を備えたMFAへの移行が求められています。
A:パスワードやOTPを使わず、公開鍵暗号を用いて認証を行う方式です。秘密鍵はデバイス内に安全に保管され、ログイン先のドメインと認証が暗号的に結びつくため、フィッシングによる不正ログインを防ぎます。
情報システム担当者が直面しているのは、従来のセキュリティ対策では進化するサイバー攻撃、特にフィッシングには対応しきれないという現実です。AiTM攻撃やMFA疲労攻撃といった手法は、弱い多要素認証を導入している企業にとって深刻なリスクとなっており、いま求められるのはフィッシング耐性のある多要素認証への迅速な移行です。
認証情報がデバイス外に出ないため、攻撃者が盗む情報が存在せず、ログイン先ドメインと認証が暗号的に紐づけられていることで、偽サイトでの認証操作も無効化されます。
併せて検討すべきがダークウェブ監視です。
過去に使用されたパスワードや既に流出した認証情報が、今もダークウェブ上で取引されている可能性があり、それらは別の攻撃の足がかりとなり得ます。監視を行うことで、流出済みアカウントの特定と対処、外部パートナー経由の漏洩の早期検知が可能になります。
フィッシング耐性Mのある多要素認証が未来の攻撃を防ぐ攻めの対策だとすれば、ダークウェブ監視は過去のリスクに備える守りの基盤です。両者を組み合わせることで、より強固なセキュリティ体制を築けます。
