2要素認証 – 業務改善コンサルティング情報ブログ https://www.trilogyforce.com/blog 業務改善で収益改善! Mon, 17 Jun 2024 01:21:12 +0900 ja hourly 1 https://wordpress.org/?v=6.9.1 Google Authenticatorが危険 https://www.trilogyforce.com/blog/google-authenticator-is-dangerous/ Tue, 10 Mar 2020 09:59:42 +0900 https://www.trilogyforce.com/blog/?p=8750 『2要素認証(2FA)コード』を生成するアプリではよく知られている『Google Authenticator』、あるサイバーセキュリティ企業によると、その『2要素認証(2FA)コード』を盗み出すマルウェアを発見したそうです。

Google Authenticator

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日は少々注意喚起的な情報です。

Google Authenticatorにリスクあり

今回発見されたマルウェアは『Android』デバイスに対するもののようで、以前に発見されたものの亜種であるとされています。

以前のマルウェアでは『ワンタイムパスワード(OTP)』は窃取されなかったようですが、今回のものはそれが盗まれてしまうようです。

『Google Authenticator』が保護されている場合にはユーザーデバイスに手動で接続できるようにもなっているようで、リモートで接続されてしまった場合には『Google Authenticator』を勝手に操作され、『ワンタイムパスワード(OTP)』を生成されてしまうとか。

ただし、ここで生成された『ワンタイムパスワード(OTP)』は『スクリーンショット』にてコードを取得しているようで、スクリーンショットが取得されないようにすれば保護できるともされています。

私も過去には『Google Authenticator』を使用していたことはありますが、今は他の認証アプリに変えています。

利用者の多い『Google Authenticator』に危険を感じたことが理由です。

]]> 2要素認証は安全だが危険性も https://www.trilogyforce.com/blog/2-factor-authentication-is-safe-but-danger/ https://www.trilogyforce.com/blog/2-factor-authentication-is-safe-but-danger/#respond Tue, 06 Nov 2018 12:01:39 +0900 https://www.trilogyforce.com/blog/?p=6678 先日、ある方が大失態をおかしてしまいました。

それにより、非常に多くの労力を強いられることになってしまったそうです。

2要素認証 Two Factor Authentication

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ある方はSNSをはじめとするウェブサービスにおいて『2要素認証(Two Factor Authentication)』を使っていました。

そして、ある時スマートフォンの機種を変更した際に悲劇が起きてしまったそうです。

2要素認証は安全だがリスクもある

2要素認証(Two Factor Authentication)というのは、ウェブサービスにログインする際、ID・パスワードなどで認証させた後、さらにスマートフォンなどでワンタイムパスワードを使って認証させるといった、2つの要素で認証をすることですが、これは安全ではあるものの若干リスクを伴うとも言えます。

何がリスクか?

2要素目の認証部分はスマートフォンなどにQRコードを読み込ませて登録したり、アプリケーションを入れ、そのアプリケーションで認証させたりします。

そして、もしスマートフォンを機種変更したり、トラブルで初期化してバックアップから復元するようなことが起きた場合においてはそれは元に戻りません。

簡単に言えば、スマートフォンの機種変更やバックアップからの復元の際には『2要素認証を解除』しておく必要があるということです。

もし解除していなかった場合、『バックアップコード』などにてウェブサービスにログインすることは可能ですが、これも保管していなかったとしたら最悪なことが起きる場合があります。

ウェブサービスに完全にログイン不可能になります。

とは言え、救済方法が全くないわけではありません。

登録されている携帯電話番号宛にSMS(ショートメール)で認証コードを送って救済してくれるものもあります。

しかし、SMS(ショートメール)に認証コードを送って救済してくれるウェブサービスばかりではありません。

サポートセンターに連絡をし、そのウェブサービスに登録されている情報を細かく提示した上で完全に情報を一致させるなどしなければ解除してもらえないものも多くあります。

このように、最終的な解決までには非常に労力を要することにもなります。

もっと最悪な場合はアカウントが使えなくなる場合もあり得るでしょう。

2要素認証(Two Factor Authentication)を使われている方、くれぐれもお気を付けください。

注:2要素認証(Two Factor Authentication)と2段階認証(Two Step Verification)は厳密には異なるものですが、前述のような事例の場合にはどちらにおいても一時解除した方が良いと言えます。

]]> https://www.trilogyforce.com/blog/2-factor-authentication-is-safe-but-danger/feed/ 0 二要素認証を突破されたreddit https://www.trilogyforce.com/blog/two-factor-authentication-breakthrough-reddit/ https://www.trilogyforce.com/blog/two-factor-authentication-breakthrough-reddit/#respond Fri, 03 Aug 2018 10:30:42 +0900 https://www.trilogyforce.com/blog/?p=6350 昨今、単純にIDとパスワードを入力するだけのログイン認証などは危険性が高いため、二要素(二段階)認証(Two-factor authentication:2FA)を用いるサービスが増えています。

しかし、これにおいても問題が起きた事例があります。

二要素(二段階)認証 (Two-factor authentication:2FA)

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭で書いた二要素(二段階)認証(Two-Factor Authentication:2FA)における問題事例ですが、今月初め、米国のソーシャルニュースサイト『reddit』にて発生しました。

redditでは、SMS(ショートメッセージサービス)を使った二要素(二段階)認証を義務付けていたようですが、これでは守り切れずに不正侵入を許してしまったようです。

では、このような事態から保護するにはどのようにしたら良いのでしょうか?

二要素認証を突破されないために

まずは二要素(二段階)認証の主な種類を見ていきましょう。

1.SMS(ショートメッセージサービス)を使うケース

2.E-mailを使うケース

3.電話を使うケース

4.ハードウェアトークンを使うケース

5.ソフトウェアトークンを使うケース

この中で、4と5のトークンを使った二要素(二段階)認証であれば今回の『reddit』のような事態は防げる確率は上がるはずです。

現にredditは、SMSベースの2FA認証からトークンベースの2FA認証への切り替えを促しています。

ただし、こればかりはサービスを提供している側がどのセキュリティ方法を提供しているかにもよりますので難しいところもありますが、選択肢があるのであればトークンベースの2FA認証に変更することがお勧めです。

また、仮に現時点ではSMSベースの2FA認証しか提供されていなかったとしても、今回のような事態を受け、他のサービスにおいてもトークンベースの2FA認証が提供される可能性も大きいと思われますので、こまめに情報をチェックしておくと良いでしょう。

]]> https://www.trilogyforce.com/blog/two-factor-authentication-breakthrough-reddit/feed/ 0