2段階認証をしておけば、大丈夫だと思っていませんか?
少し前に証券会社の口座が乗っ取られ、大事に育てた資産が勝手に売られ、中国株を買われてしまうというニュースがあったことを、ご存知の方も多いのではないでしょうか。
口座を乗っ取られた人は、2段階認証も設定していた人も多くいるようですが、それでも乗っ取られてしまったのです。
私自身、銀行や証券会社と言った金融系の会社なら、セキュリティ対策が万全で自分自身がフィッシングサイト等に気を付けていれば、大丈夫と思っていたので、この2段階認証を設定されていても乗っ取られてしまった例を知ったら、不安でいっぱいになりました。
なので、今回は何故2段階認証が突破されてしまうのか、それに代わる方法について書いていきたいと思います。
何故、2段階認証ではダメなのか
そもそも2段階認証とは、ログインする際に、IDとパスワードでログインした後に、別の媒体(メールやSMS等)でパスワードを受け取るセキュリティ対策です。
最近ではリアルタイムフィッシング詐欺と言う手法が横行しているようです。
その内容は以下です。
1.2段階認証のページを含めた、本物そっくりのサイトを用意する
2.利用者がダミーのサイトにアクセスし、ログインを試みる
3.利用者が正規の手段で入手した2段階認証のコードを、ダミーのサイトに入力してしまう
4.入力されたコードを、悪意ある人が正規のサイトで入力し、不正ログインする
上記のように、結局はパスワードを2回入力している状態であり、入力する情報が漏れてしまえば、2段階認証では不正ログインを防げないと言う訳なのです。
2段階認証の代替となるFIDO認証やパスキー
FIDO認証のFIDOとは、「Fast Identity Online」の略称で、パスワードを使わない認証方法です。
FIDO認証の内容としては、例えばサイトに会員登録する際に、ログインするデバイス(例:スマホ等)の登録を行ない、IDと生体情報(指紋等)をセットにした「鍵(公開鍵)」を作成します。
するとサイト側は、その情報に基づいてペアとなる「鍵(秘密鍵)」を作成し、保存します。
そうすることにより、パスワードのように「知識」ベースで入力せずに、予め登録してある「情報」ベースでログインをする為、2段階認証よりも強力なセキュリティ対策となりますので、FIDO認証やパスキーを設定可能なサイトは、積極的に使っていくことをおススメ致します。
Googleアカウントへのログインに、パスキーを
最後に、これまで2段階認証やそれに代わる認証方式について書いてきましたが、弊社のお客様でもフリーのGoogleアカウントを業務利用される方がいます。
2段階認証を設定していても、アカウントが乗っ取られるリスクが存在することはお分かり頂けたかと思いますので、この記事を読んで頂いた際は、ぜひパスキーを使ったログイン方法への切り替えを検討頂ければと思います。
