リアルタイム/中継型フィッシングの脅威と人類が取れる対策

ritouです。

絶望

パスワードリスト攻撃への対策として様々なサービスが２要素(段階)認証を導入しているものの、今度はリアルタイム、中継型などと呼ばれるフィッシングにやられるケースが見受けられます。

よく2段階認証で使われている

• Google Authenticatorのようなアプリで設定したTOTP
• SMSで送られて来るなんたらコード
• 机の引き出しにしまっとけって言われるリカバリーコード

あたりはこのフィッシング攻撃にやられます。
この辺りが解説されているわかりやすそうなドキュメントもあります。

君達の資格情報は全ていただいた！ | Japan Azure Identity Support Blog

WebAuthnなどのFIDOなら大丈夫とありますが、ちょうど今日ブログに書いた "手元のスマホ(で動いてるアプリ)でログイン" の場合はその中でFIDOを使っててもやられます。

2段階/要素認証を導入したからといって安心だなどと思わず、正しく絶望しましょう。

ユーザーが取れる対策

• フィッシングサイトを開いたら即負け
  • メールやSMSについてるURLは開かない(正規のサービスはSNSにURLを載せない)、 アクセスはブックマークからなど
• 人類の能力だけに頼ってはダメ。User-Agentやパスワード管理ソフトが関与する認証方式を利用する
  • クレデンシャルがドメイン単位、origin単位で管理される仕組みであれば、フィッシングサイトにパスワードを入力"できなかったり"、"鍵の管理が別扱いになったり"して被害を防げる場合があります

偽のモバイルアプリとかまでいくと正直辛すぎるだろと思うわけですが、Webだけ見たらUser-Agent(ブラウザ)が提供する機能、パスワード管理ソフトの関与は偉大です。

サービスが取れる対策

上記の内容をひっくり返して、ユーザーが取れる対策を増やしましょう。

• SMSやメールで普段からURLを送らない
• ユーザーがUser-Agent/パスワード管理ソフトにフレンドリーな方法を選択できるようにする
  • クレデンシャルを扱うドメインを集約させたり、機械様に守っていただける実装を考えましょう
• パスワードは漏らすな、漏れた場合も想定しておけ、アフターケアちゃんとしろ

厳しい世の中ですが、頑張っていきましょう。