TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

多要素認証 / 二要素認証 (まとめ)

【目次】

概要

【概要】
クレデンシャル リアルタイムフィッシング チャンネルジャック 備考
パスワード 可能 可能
PIN 可能 可能
approvals 可能 可能
パスコード 可能 可能
OATH hardware 可能 不可能
OATH software 可能 不可能
Authentication applications 可能 不可能
Smartcards 不可能 不可能
Windows Hello 不可能 不可能
FIDO 不可能 不可能


■2段階認証を突破する方法

  • ボイスメールを使用して認証chordを読み出す
    • 以下が必要
      • ターゲットのアカウント名とパスワード
      • 2段階認証に登録された携帯電話の番号
      • 発信者電話番号偽装サービス
      • キャリアのボイスメール用の電話番号
  • 発信者電話番号偽装サービス


■手順

  1. ターゲットの2段階認証設定されたアカウントにログイン
  2. 2段階認証用の認証コードをショートメールで送信するか、電話で送信するかなどのオプションが表示
  3. 2段階認証に登録されたターゲットの携帯電話に電話をかけ、ターゲットの携帯電話が着信中であることを確認
  4. 電話で認証コードを送る
  5. ターゲットの携帯電話が通話中のため、認証コードはターゲットのボイスメールに保存される
【最新情報】

◆MS、「Exchange」の悪用によるスパム送信事例を紹介--MFAで回避できた可能性も (ZDNet, 2022/09/26 11:29)
https://japan.zdnet.com/article/35193704/
https://malware-log.hatenablog.com/entry/2022/09/26/000000

◆「多要素認証」を破る大規模フィッシング (日経XTECH, 2022/09/29)

1万社以上のMicrosoft 365利用企業を襲う

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/091500057/
https://malware-log.hatenablog.com/entry/2022/09/29/000000_3

記事

【ニュース】

■2013年

◆Googleがパスワードの廃止, 物理デバイスによるセキュリティを研究開発中 (TechCrunch, 2013/01/19)
http://jp.techcrunch.com/archives/20130118google-wants-your-next-password-to-be-a-physical-one/
https://malware-log.hatenablog.com/entry/2013/01/19/000000_1

■2014年

◆使ってわかったLINE電話の番号偽装対策 (週刊アスキー, 2014/05/09 14:30)
http://weekly.ascii.jp/elem/000/000/219/219836/
https://malware-log.hatenablog.com/entry/2014/05/09/000000_1

◆Google・Facebook・Yahoo!などの2段階認証を突破する方法が判明 (Gigazine, 2014/05/19)
https://gigazine.net/news/20140519-how-to-hack-2-factor-authentication/
https://malware-log.hatenablog.com/entry/2014/05/19/000000

◆高度化する不正送金マルウェア、二要素認証の仕組みも突破して自動送金 (Internet Watch, 2014/09/17 13:17)
https://internet.watch.impress.co.jp/docs/news/667072.html
https://malware-log.hatenablog.com/entry/2014/09/17/000000_2

◆SMSを利用した「2要素認証」をサイバー犯罪者たちが突破する手法を紹介(AFCC) (NetSecurity, 2014/11/02)
https://scan.netsecurity.ne.jp/article/2014/11/02/35122.html
https://malware-log.hatenablog.com/entry/2014/11/02/000000_1


■2018年

◆大学を狙ったフィッシング相次ぐ 2要素認証や証明書で対策を (日経XTECH, 2018/08/31 05:00)
https://tech.nikkeibp.co.jp/atcl/nxt/mag/nnw/18/041800008/082300007/
https://malware-log.hatenablog.com/entry/2018/08/31/000000

◆2要素認証は安全か? (Biglobe, 2018/09/18 19:43)
https://news.biglobe.ne.jp/it/0918/mnn_180918_9391733468.html
https://malware-log.hatenablog.com/entry/2018/09/18/000000_1

◆「認証の回数が多いほど安全」は間違い? 二要素認証のハナシ (ITmedia, 2018/11/16 08:00)
http://www.itmedia.co.jp/news/articles/1811/16/news016.html
https://malware-log.hatenablog.com/entry/2018/11/16/000000_2

◆Android Trojan steals money from PayPal accounts even with 2FA on (Welivesecurity, 2018/12/11)
https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/
https://malware-log.hatenablog.com/entry/2018/12/11/000000_3

◆redditに不正アクセス、二要素認証では守り切れず (ITmedia, 2018/08/02 10:30)

同社は二要素認証(2FA)を義務付けていたにもかかわらず、SMSベースの認証では守り切れず、SMSインターセプトを通じて攻撃を仕掛けられたという

http://www.itmedia.co.jp/enterprise/articles/1808/02/news056.html
https://malware-log.hatenablog.com/entry/2019/01/14/000000_2

■2019年

◆相次ぐ2要素認証突破、どう対抗すべきか? (マイナビニュース, 2019/01/23 10:15)
https://news.mynavi.jp/article/20190123-760169/
https://malware-log.hatenablog.com/entry/2019/01/23/000000_1

◆Binance Hacked | Hackers Stole Bitcoins worth $40 Million (Hacking Blogs, 2019/05/08)
https://hackingblogs.com/binance-hacked/
https://malware-log.hatenablog.com/entry/2019/05/08/000000_10

◆Phishing attacks that bypass 2-factor authentication are now easier to execute (CSO, 2019/06/03)
https://www.csoonline.com/article/3399858/phishing-attacks-that-bypass-2-factor-authentication-are-now-easier-to-execute.html
https://malware-log.hatenablog.com/entry/2019/06/03/000000_10

◆Twitter CEO and co-founder Jack Dorsey has account hacked (BBC, 2019/08/31)
https://www.bbc.com/news/technology-49532244
https://malware-log.hatenablog.com/entry/2019/08/31/000000_3

◆All your creds are belong to us! (Microsoft, 2019/10/03 09:00)
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/All-your-creds-are-belong-to-us/ba-p/855124
https://malware-log.hatenablog.com/entry/2019/10/03/000000_6

◆FBIが多要素認証を迂回する攻撃について注意喚起 (ZDnet, 2019/10/08 13:33)
https://japan.zdnet.com/article/35143674/
https://malware-log.hatenablog.com/entry/2019/10/08/000000_2

◆SIMスワッピング (NRI, 2019/11/22)
https://www.nri-secure.co.jp/news_letter/2019/vol14_no35_20191122
https://malware-log.hatenablog.com/entry/2013/01/19/000000_1

◆中国のハッカー集団、2要素認証をかいくぐり政府機関などを攻撃--研究者が発表 (ZDNet, 2019/12/24 12:42)
https://japan.zdnet.com/article/35147287/
https://malware-log.hatenablog.com/entry/2019/12/24/000000_7


■2020年

◆二要素認証の突破やSMSへのメッセージ混入--2019年サイバー犯罪総括(トレンドマイクロ)(NetSecurity, 2020/01/10 08:10)
https://scan.netsecurity.ne.jp/article/2020/01/10/43512.html
https://malware-log.hatenablog.com/entry/2020/01/10/000000_3

◆巧妙な手口で「二要素認証」を突破、ネットバンキングの「ワンタイムパスワード」を狙う偽サイトに注意 (Internet Watch, 2020/03/19 06:00)
https://malware-log.hatenablog.com/entry/2020/03/19/000000

◆もはや安全ではない 二要素認証(2FA)と生体認証 (ITmedia, 2020/06/03)

パスワード認証を補完、強化、代替するものとして広まった二要素認証と生体認証。だが、今やそう
した認証の回避策も現れ安全とは言えなくなった

https://ids.itmedia.jp/dl/cw_200603.pdf
https://malware-log.hatenablog.com/entry/2020/06/12/000000_5

◆NTTコム・サイバー攻撃事件の深層、多要素認証を無効化されていた (日経XTECH, 2020/08/21)
https://xtech.nikkei.com/atcl/nxt/column/18/01157/081900017/
https://malware-log.hatenablog.com/entry/2020/08/21/000000_2

◆MS365のMFAが効かない基本認証。基本認証を無効化していないMS365が狙われている。 (Yahoo!, 2020/11/21)
https://news.yahoo.co.jp/byline/ohmototakashi/20201121-00208854/
https://malware-log.hatenablog.com/entry/2020/11/21/000000

◆cPanel 2FA bypassed in minutes via brute-force attacks (BleepingComputer, 2020/11/26)
[cPanel 2FAはブルートフォース攻撃によって数分でバイパスされます]
https://www.bleepingcomputer.com/news/security/cpanel-2fa-bypassed-in-minutes-via-brute-force-attacks/
https://malware-log.hatenablog.com/entry/2020/11/26/000000_5

◆全銀協、電子決済との口座連携でガイドライン (日経新聞, 2020/11/30 19:51)
https://www.nikkei.com/article/DGXMZO66819070Q0A131C2EE9000
https://malware-log.hatenablog.com/entry/2020/11/30/000000_6

◆全銀協、ドコモ不正引き出し受け「多要素認証」導入を義務化 (SankeiBiz, 2020/12/01 06:08)
https://www.sankeibiz.jp/business/news/201201/bse2012010608005-n1.htm
https://malware-log.hatenablog.com/entry/2020/12/01/000000_11


■2021年

◆CISA、多要素認証をバイパスするクラウド攻撃を警告 (Cafe-dc, 2021/01/18)
https://cafe-dc.com/other/cisa-warning-over-cloud-attacks-bypassing-multi-factor-authentication/
https://malware-log.hatenablog.com/entry/2021/01/18/000000_5

◆多要素認証が効かない「Pass-the-cookie攻撃」の仕組み (TechTarget, 2021/03/08 08:00)

多要素認証は、Pass-the-cookie攻撃によって迂回される可能性がある。攻撃に成功すると、サイバー犯罪者は正規ユーザーになりすましてシステムを利用することができる

https://techtarget.itmedia.co.jp/tt/news/2103/08/news02.html
https://malware-log.hatenablog.com/entry/2021/03/08/000000

◆LINEのQRコードログインに2要素認証バイパスの脆弱性 - 悪用被害も (Security NEXT, 2021/09/13)
https://www.security-next.com/129817
https://malware-log.hatenablog.com/entry/2021/09/13/000000

◆「多要素認証の万能視は危険」、イスラエルのサイバーアークが警鐘 (日経XTECH, 2021/10/08)
https://xtech.nikkei.com/atcl/nxt/news/18/11396/
https://malware-log.hatenablog.com/entry/2021/10/08/000000_2

◆富士通が情報流出招いたProjectWEBの廃止を発表、「名無し」の代替ツールを提供へ (日経XTECH, 2021/12/09)
https://xtech.nikkei.com/atcl/nxt/news/18/11844/
https://malware-log.hatenablog.com/entry/2021/12/09/000000_2


■2022年

◆多要素認証の普及率低さに米Microsoftが警鐘 米政府も「とてつもなく危険」と指摘 (ITmedia, 2022/02/10)
https://www.itmedia.co.jp/news/articles/2202/10/news067.html
https://malware-log.hatenablog.com/entry/2022/02/10/000000

◆This new Android malware bypasses multi-factor authentication to steal your passwords (ZDNet, 2022/06/16)
[多要素認証を回避し、パスワードを盗み出す新型Androidマルウェアが登場]

Cybersecurity researchers uncover MaliBot, a powerful new Android malware. Be careful what you download, and from where.
[サイバーセキュリティ研究者が、強力な新型Androidマルウェア「MaliBot」を発見。どこから何をダウンロードするか、注意してください]

https://www.zdnet.com/article/this-new-android-malware-bypasses-multi-factor-authentication-to-steal-your-passwords/
https://malware-log.hatenablog.com/entry/2022/06/16/000000

◆多要素認証を回避するサイバー攻撃、Microsoftが発見 (マイナビニュース, 2022/07/15 11:31)
https://news.mynavi.jp/techplus/article/20220715-2399206/
https://malware-log.hatenablog.com/entry/2022/07/15/000000_4

◆「多要素認証」を破る大規模フィッシング、1万社以上のMicrosoft 365利用企業を襲う (日経XTECH, 2022/07/27)
https://xtech.nikkei.com/atcl/nxt/column/18/00676/072100111/
https://malware-log.hatenablog.com/entry/2022/07/27/000000_2

◆多要素認証をバイパスする新しい攻撃、CookieをダークWebで売買 (マイナビニュース, 2022/08/21 20:21)
https://news.mynavi.jp/techplus/article/20220821-2430739/
https://malware-log.hatenablog.com/entry/2022/08/21/000000

◆Okta one-time MFA passcodes exposed in Twilio cyberattack (BleepingComputer, 2022/08/28 13:15)
[Twilioのサイバー攻撃でOktaのMFAワンタイムパスコードが流出]
https://www.bleepingcomputer.com/news/security/okta-one-time-mfa-passcodes-exposed-in-twilio-cyberattack/
https://malware-log.hatenablog.com/entry/2022/08/28/000000

◆MS、「Exchange」の悪用によるスパム送信事例を紹介--MFAで回避できた可能性も (ZDNet, 2022/09/26 11:29)
https://japan.zdnet.com/article/35193704/
https://malware-log.hatenablog.com/entry/2022/09/26/000000

◆「多要素認証」を破る大規模フィッシング (日経XTECH, 2022/09/29)

1万社以上のMicrosoft 365利用企業を襲う

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/091500057/
https://malware-log.hatenablog.com/entry/2022/09/29/000000_3

【ブログ】

■2019年

◆Has two-factor authentication been defeated? A spotlight on 2FA’s latest challenge (MalwareBytes, 2019/01/21)
https://blog.malwarebytes.com/cybercrime/2019/01/two-factor-authentication-defeated-spotlight-2fas-latest-challenge/
https://malware-log.hatenablog.com/entry/2019/01/21/000000

◆Android Apps uses a novel technique to by-pass 2FA and steal Bitcoin (SecurityAffairs, 2019/06/18)

エキスパートが、Googleの最近のSMSアクセス許可の制限を回避しながら、SMSベースの2要素認証を迂回する新しい手法を発見しました

https://securityaffairs.co/wordpress/87274/hacking/2fa-bypass-technique-bitcoin.html
https://malware-log.hatenablog.com/entry/2019/06/18/000000_4

◆国内ネットバンキングの二要素認証を狙うフィッシングが激化 (Trendmicro, 2019/10/24)
https://blog.trendmicro.co.jp/archives/22696
https://malware-log.hatenablog.com/entry/2019/10/24/000000_9


■2022年

◆Microsoft が多要素認証を回避するフィッシング攻撃 「Adversary-in-the-Middle(AiTM)」について発表 (CyberTrust, 2022/07/21)
https://www.cybertrust.co.jp/blog/certificate-authority/client-authentication/aitm-phishing-and-mfa.html
https://malware-log.hatenablog.com/entry/2022/07/21/000000_4

【ビデオ】

◆12 Ways to Defeat Two-Factor Authentication (Xtelligent Media, 2018/12/13)
https://vimeo.com/306182798
https://malware-log.hatenablog.com/entry/2018/12/13/000000_8

関連情報

【関連まとめ記事】

全体まとめ

◆防御技術 (まとめ)
https://malware-log.hatenablog.com/entry/Defense_Technology