2段階認証もいろいろあるからね・・・
ITmediaの記事に、 2段階認証でも突破する詐欺サイトが急増 作成ツール出回る てのがありました。
インターネット上で偽のWebサイトに誘導し個人情報などを盗み取るフィッシング詐欺をめぐり、金融機関が本人確認強化のため導入している「2段階認証」が突破されるケースが増えているそうです。記事によると・・・
詐欺サイト上で打ち込ませたIDやパスワードを正規の銀行サイトに入力、利用者のもとに届いた1回限り有効なパスワード(ワンタイムパスワード)を再び詐欺サイトに入力させ、盗み取る手口だ。2段階認証でも安全とは言い切れないとして、関係者は注意を呼びかけている。
だそうです。詳細は記事をご覧いただきたいのですが、この2段階認証を突破する方法については、今更始まったわけではなく既にかなり前から行われていたことです。今から約5年前の2014年の本ブログにて、 今時メール送付型ワンタイムパスワードしか導入していない銀行の利用は考えた方がよくね? とのエントリーで既に取り上げていました。
詳しくは上記のエントリーをご覧いただきたいのですが、一口に2段階認証と言っても大きく分けて3つの方法があります。
- メールやSMSによるパスワード送付
- スマホのワンタイムパスワードアプリの利用
- ハードウェアトークンの利用
今回問題になっているのは、「1」のメールやSMSでワンタイムパスワードが送付される方法です。
スマホのワンタイムパスワードアプリには、 Google認証システム や Microsoft Authenticator のようなものあり、スマホのアプリを起動することでワンタイムパスワードを確認するものです。
ハードウェアトークンは具体的には弊社も利用しているジャパンネット銀行のハードウェアトークンなどがあります。
スマホのワンタイムパスワードアプリやハードウェアトークン利用によるワンタイムパスワードと決定的に違うのは、パスワードの利用可能時間の違いです。
メールやSMSによる方法だとメールを確認して入力するまでに10分から1時間程度は利用可能な時間が存在すると思いますが、スマホのアプリやハードウェアトークンの場合、短いと30秒程度、長くても1分程度でパスワードが変更されます。
ですから、メールやSMSを利用したワンタイムパスワードというのは、スマホのアプリやハードウェアトークンを利用したワンタイムパスワードに比べると利用可能時間が長い分、今回のような詐欺サイトで突破されてしまう可能性が非常に高くなってしまいます。
ワンタイムパスワードでも、メールやSMSによるパスワード送付を行っている場合は今回のような詐欺サイトの被害にあってしまう場合がありますので、十分にご注意ください。