【目次】
概要
【辞書】
◆多要素認証 (Wikipedia)
https://ja.wikipedia.org/wiki/%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC
【概要】
| クレデンシャル | リアルタイムフィッシング | チャンネルジャック | 備考 |
|---|---|---|---|
| パスワード | 可能 | 可能 | |
| PIN | 可能 | 可能 | |
| approvals | 可能 | 可能 | |
| パスコード | 可能 | 可能 | |
| OATH hardware | 可能 | 不可能 | |
| OATH software | 可能 | 不可能 | |
| Authentication applications | 可能 | 不可能 | |
| Smartcards | 不可能 | 不可能 | |
| Windows Hello | 不可能 | 不可能 | |
| FIDO | 不可能 | 不可能 |
■2段階認証を突破する方法
- ボイスメールを使用して認証chordを読み出す
- 以下が必要
- ターゲットのアカウント名とパスワード
- 2段階認証に登録された携帯電話の番号
- 発信者電話番号偽装サービス
- キャリアのボイスメール用の電話番号
- 以下が必要
- 発信者電話番号偽装サービス
- SpoofCard (http://www.spoofcard.com/)
■手順
- ターゲットの2段階認証設定されたアカウントにログイン
- 2段階認証用の認証コードをショートメールで送信するか、電話で送信するかなどのオプションが表示
- 2段階認証に登録されたターゲットの携帯電話に電話をかけ、ターゲットの携帯電話が着信中であることを確認
- 電話で認証コードを送る
- ターゲットの携帯電話が通話中のため、認証コードはターゲットのボイスメールに保存される
【最新情報】
◆MS、「Exchange」の悪用によるスパム送信事例を紹介--MFAで回避できた可能性も (ZDNet, 2022/09/26 11:29)
https://japan.zdnet.com/article/35193704/
⇒ https://malware-log.hatenablog.com/entry/2022/09/26/000000
◆「多要素認証」を破る大規模フィッシング (日経XTECH, 2022/09/29)
1万社以上のMicrosoft 365利用企業を襲う
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/091500057/
⇒ https://malware-log.hatenablog.com/entry/2022/09/29/000000_3
記事
【ニュース】
■2013年
◆Googleがパスワードの廃止, 物理デバイスによるセキュリティを研究開発中 (TechCrunch, 2013/01/19)
http://jp.techcrunch.com/archives/20130118google-wants-your-next-password-to-be-a-physical-one/
⇒ https://malware-log.hatenablog.com/entry/2013/01/19/000000_1
■2014年
◆使ってわかったLINE電話の番号偽装対策 (週刊アスキー, 2014/05/09 14:30)
http://weekly.ascii.jp/elem/000/000/219/219836/
⇒ https://malware-log.hatenablog.com/entry/2014/05/09/000000_1
◆Google・Facebook・Yahoo!などの2段階認証を突破する方法が判明 (Gigazine, 2014/05/19)
https://gigazine.net/news/20140519-how-to-hack-2-factor-authentication/
⇒ https://malware-log.hatenablog.com/entry/2014/05/19/000000
◆高度化する不正送金マルウェア、二要素認証の仕組みも突破して自動送金 (Internet Watch, 2014/09/17 13:17)
https://internet.watch.impress.co.jp/docs/news/667072.html
⇒ https://malware-log.hatenablog.com/entry/2014/09/17/000000_2
◆SMSを利用した「2要素認証」をサイバー犯罪者たちが突破する手法を紹介(AFCC) (NetSecurity, 2014/11/02)
https://scan.netsecurity.ne.jp/article/2014/11/02/35122.html
⇒ https://malware-log.hatenablog.com/entry/2014/11/02/000000_1
■2018年
◆大学を狙ったフィッシング相次ぐ 2要素認証や証明書で対策を (日経XTECH, 2018/08/31 05:00)
https://tech.nikkeibp.co.jp/atcl/nxt/mag/nnw/18/041800008/082300007/
⇒ https://malware-log.hatenablog.com/entry/2018/08/31/000000
◆2要素認証は安全か? (Biglobe, 2018/09/18 19:43)
https://news.biglobe.ne.jp/it/0918/mnn_180918_9391733468.html
⇒ https://malware-log.hatenablog.com/entry/2018/09/18/000000_1
◆「認証の回数が多いほど安全」は間違い? 二要素認証のハナシ (ITmedia, 2018/11/16 08:00)
http://www.itmedia.co.jp/news/articles/1811/16/news016.html
⇒ https://malware-log.hatenablog.com/entry/2018/11/16/000000_2
◆Android Trojan steals money from PayPal accounts even with 2FA on (Welivesecurity, 2018/12/11)
https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/
⇒ https://malware-log.hatenablog.com/entry/2018/12/11/000000_3
◆redditに不正アクセス、二要素認証では守り切れず (ITmedia, 2018/08/02 10:30)
同社は二要素認証(2FA)を義務付けていたにもかかわらず、SMSベースの認証では守り切れず、SMSインターセプトを通じて攻撃を仕掛けられたという
http://www.itmedia.co.jp/enterprise/articles/1808/02/news056.html
⇒ https://malware-log.hatenablog.com/entry/2019/01/14/000000_2
■2019年
◆相次ぐ2要素認証突破、どう対抗すべきか? (マイナビニュース, 2019/01/23 10:15)
https://news.mynavi.jp/article/20190123-760169/
⇒ https://malware-log.hatenablog.com/entry/2019/01/23/000000_1
◆Binance Hacked | Hackers Stole Bitcoins worth $40 Million (Hacking Blogs, 2019/05/08)
https://hackingblogs.com/binance-hacked/
⇒ https://malware-log.hatenablog.com/entry/2019/05/08/000000_10
◆Phishing attacks that bypass 2-factor authentication are now easier to execute (CSO, 2019/06/03)
https://www.csoonline.com/article/3399858/phishing-attacks-that-bypass-2-factor-authentication-are-now-easier-to-execute.html
⇒ https://malware-log.hatenablog.com/entry/2019/06/03/000000_10
◆Twitter CEO and co-founder Jack Dorsey has account hacked (BBC, 2019/08/31)
https://www.bbc.com/news/technology-49532244
⇒ https://malware-log.hatenablog.com/entry/2019/08/31/000000_3
◆All your creds are belong to us! (Microsoft, 2019/10/03 09:00)
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/All-your-creds-are-belong-to-us/ba-p/855124
⇒ https://malware-log.hatenablog.com/entry/2019/10/03/000000_6
◆FBIが多要素認証を迂回する攻撃について注意喚起 (ZDnet, 2019/10/08 13:33)
https://japan.zdnet.com/article/35143674/
⇒ https://malware-log.hatenablog.com/entry/2019/10/08/000000_2
◆SIMスワッピング (NRI, 2019/11/22)
https://www.nri-secure.co.jp/news_letter/2019/vol14_no35_20191122
⇒ https://malware-log.hatenablog.com/entry/2013/01/19/000000_1
◆中国のハッカー集団、2要素認証をかいくぐり政府機関などを攻撃--研究者が発表 (ZDNet, 2019/12/24 12:42)
https://japan.zdnet.com/article/35147287/
⇒ https://malware-log.hatenablog.com/entry/2019/12/24/000000_7
■2020年
◆二要素認証の突破やSMSへのメッセージ混入--2019年サイバー犯罪総括(トレンドマイクロ)(NetSecurity, 2020/01/10 08:10)
https://scan.netsecurity.ne.jp/article/2020/01/10/43512.html
⇒ https://malware-log.hatenablog.com/entry/2020/01/10/000000_3
◆巧妙な手口で「二要素認証」を突破、ネットバンキングの「ワンタイムパスワード」を狙う偽サイトに注意 (Internet Watch, 2020/03/19 06:00)
⇒ https://malware-log.hatenablog.com/entry/2020/03/19/000000
◆もはや安全ではない 二要素認証(2FA)と生体認証 (ITmedia, 2020/06/03)
パスワード認証を補完、強化、代替するものとして広まった二要素認証と生体認証。だが、今やそう
した認証の回避策も現れ安全とは言えなくなったhttps://ids.itmedia.jp/dl/cw_200603.pdf
⇒ https://malware-log.hatenablog.com/entry/2020/06/12/000000_5
◆NTTコム・サイバー攻撃事件の深層、多要素認証を無効化されていた (日経XTECH, 2020/08/21)
https://xtech.nikkei.com/atcl/nxt/column/18/01157/081900017/
⇒ https://malware-log.hatenablog.com/entry/2020/08/21/000000_2
◆MS365のMFAが効かない基本認証。基本認証を無効化していないMS365が狙われている。 (Yahoo!, 2020/11/21)
https://news.yahoo.co.jp/byline/ohmototakashi/20201121-00208854/
⇒ https://malware-log.hatenablog.com/entry/2020/11/21/000000
◆cPanel 2FA bypassed in minutes via brute-force attacks (BleepingComputer, 2020/11/26)
[cPanel 2FAはブルートフォース攻撃によって数分でバイパスされます]
https://www.bleepingcomputer.com/news/security/cpanel-2fa-bypassed-in-minutes-via-brute-force-attacks/
⇒ https://malware-log.hatenablog.com/entry/2020/11/26/000000_5
◆全銀協、電子決済との口座連携でガイドライン (日経新聞, 2020/11/30 19:51)
https://www.nikkei.com/article/DGXMZO66819070Q0A131C2EE9000
⇒ https://malware-log.hatenablog.com/entry/2020/11/30/000000_6
◆全銀協、ドコモ不正引き出し受け「多要素認証」導入を義務化 (SankeiBiz, 2020/12/01 06:08)
https://www.sankeibiz.jp/business/news/201201/bse2012010608005-n1.htm
⇒ https://malware-log.hatenablog.com/entry/2020/12/01/000000_11
■2021年
◆CISA、多要素認証をバイパスするクラウド攻撃を警告 (Cafe-dc, 2021/01/18)
https://cafe-dc.com/other/cisa-warning-over-cloud-attacks-bypassing-multi-factor-authentication/
⇒ https://malware-log.hatenablog.com/entry/2021/01/18/000000_5
◆多要素認証が効かない「Pass-the-cookie攻撃」の仕組み (TechTarget, 2021/03/08 08:00)
多要素認証は、Pass-the-cookie攻撃によって迂回される可能性がある。攻撃に成功すると、サイバー犯罪者は正規ユーザーになりすましてシステムを利用することができる
https://techtarget.itmedia.co.jp/tt/news/2103/08/news02.html
⇒ https://malware-log.hatenablog.com/entry/2021/03/08/000000
◆LINEのQRコードログインに2要素認証バイパスの脆弱性 - 悪用被害も (Security NEXT, 2021/09/13)
https://www.security-next.com/129817
⇒ https://malware-log.hatenablog.com/entry/2021/09/13/000000
◆「多要素認証の万能視は危険」、イスラエルのサイバーアークが警鐘 (日経XTECH, 2021/10/08)
https://xtech.nikkei.com/atcl/nxt/news/18/11396/
⇒ https://malware-log.hatenablog.com/entry/2021/10/08/000000_2
◆富士通が情報流出招いたProjectWEBの廃止を発表、「名無し」の代替ツールを提供へ (日経XTECH, 2021/12/09)
https://xtech.nikkei.com/atcl/nxt/news/18/11844/
⇒ https://malware-log.hatenablog.com/entry/2021/12/09/000000_2
■2022年
◆多要素認証の普及率低さに米Microsoftが警鐘 米政府も「とてつもなく危険」と指摘 (ITmedia, 2022/02/10)
https://www.itmedia.co.jp/news/articles/2202/10/news067.html
⇒ https://malware-log.hatenablog.com/entry/2022/02/10/000000
◆This new Android malware bypasses multi-factor authentication to steal your passwords (ZDNet, 2022/06/16)
[多要素認証を回避し、パスワードを盗み出す新型Androidマルウェアが登場]Cybersecurity researchers uncover MaliBot, a powerful new Android malware. Be careful what you download, and from where.
[サイバーセキュリティ研究者が、強力な新型Androidマルウェア「MaliBot」を発見。どこから何をダウンロードするか、注意してください]https://www.zdnet.com/article/this-new-android-malware-bypasses-multi-factor-authentication-to-steal-your-passwords/
⇒ https://malware-log.hatenablog.com/entry/2022/06/16/000000
◆多要素認証を回避するサイバー攻撃、Microsoftが発見 (マイナビニュース, 2022/07/15 11:31)
https://news.mynavi.jp/techplus/article/20220715-2399206/
⇒ https://malware-log.hatenablog.com/entry/2022/07/15/000000_4
◆「多要素認証」を破る大規模フィッシング、1万社以上のMicrosoft 365利用企業を襲う (日経XTECH, 2022/07/27)
https://xtech.nikkei.com/atcl/nxt/column/18/00676/072100111/
⇒ https://malware-log.hatenablog.com/entry/2022/07/27/000000_2
◆多要素認証をバイパスする新しい攻撃、CookieをダークWebで売買 (マイナビニュース, 2022/08/21 20:21)
https://news.mynavi.jp/techplus/article/20220821-2430739/
⇒ https://malware-log.hatenablog.com/entry/2022/08/21/000000
◆Okta one-time MFA passcodes exposed in Twilio cyberattack (BleepingComputer, 2022/08/28 13:15)
[Twilioのサイバー攻撃でOktaのMFAワンタイムパスコードが流出]
https://www.bleepingcomputer.com/news/security/okta-one-time-mfa-passcodes-exposed-in-twilio-cyberattack/
⇒ https://malware-log.hatenablog.com/entry/2022/08/28/000000
◆MS、「Exchange」の悪用によるスパム送信事例を紹介--MFAで回避できた可能性も (ZDNet, 2022/09/26 11:29)
https://japan.zdnet.com/article/35193704/
⇒ https://malware-log.hatenablog.com/entry/2022/09/26/000000
◆「多要素認証」を破る大規模フィッシング (日経XTECH, 2022/09/29)
1万社以上のMicrosoft 365利用企業を襲う
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/091500057/
⇒ https://malware-log.hatenablog.com/entry/2022/09/29/000000_3
【ブログ】
■2019年
◆Has two-factor authentication been defeated? A spotlight on 2FA’s latest challenge (MalwareBytes, 2019/01/21)
https://blog.malwarebytes.com/cybercrime/2019/01/two-factor-authentication-defeated-spotlight-2fas-latest-challenge/
⇒ https://malware-log.hatenablog.com/entry/2019/01/21/000000
◆Android Apps uses a novel technique to by-pass 2FA and steal Bitcoin (SecurityAffairs, 2019/06/18)
エキスパートが、Googleの最近のSMSアクセス許可の制限を回避しながら、SMSベースの2要素認証を迂回する新しい手法を発見しました
https://securityaffairs.co/wordpress/87274/hacking/2fa-bypass-technique-bitcoin.html
⇒ https://malware-log.hatenablog.com/entry/2019/06/18/000000_4
◆国内ネットバンキングの二要素認証を狙うフィッシングが激化 (Trendmicro, 2019/10/24)
https://blog.trendmicro.co.jp/archives/22696
⇒ https://malware-log.hatenablog.com/entry/2019/10/24/000000_9
■2022年
◆Microsoft が多要素認証を回避するフィッシング攻撃 「Adversary-in-the-Middle(AiTM)」について発表 (CyberTrust, 2022/07/21)
https://www.cybertrust.co.jp/blog/certificate-authority/client-authentication/aitm-phishing-and-mfa.html
⇒ https://malware-log.hatenablog.com/entry/2022/07/21/000000_4
【ビデオ】
◆12 Ways to Defeat Two-Factor Authentication (Xtelligent Media, 2018/12/13)
https://vimeo.com/306182798
⇒ https://malware-log.hatenablog.com/entry/2018/12/13/000000_8
