左 :
正規の Google SMS 認証。
右 :
認証コードを共有することを求めるなりすましメッセージ。
また、それよりも高度な動的フィッシング ページを使ってリレー攻撃が行われることもあります。この攻撃では、通常のフィッシング攻撃と同じように、ユーザーは目的のサイトにログインしていると思いこんでいます。しかし、単なる静的なフィッシング ページで被害者がログインしようとしたときにメールとパスワードを取得しようとするのではなく、情報を盗むと同時に実際のウェブサイトにログインするウェブサービスが使われています。
最も簡単な方法は、既製の「リバース プロキシ」をほぼそのまま利用することです。これが「中間者」として動作し、入力を正規のページに転送し、正規のページからの応答をブラウザに送り返します。
こういった攻撃を防ぐのは困難です。攻撃者に提示される追加の認証画面(SMS コードのプロンプトなど)も被害者にリレーされ、被害者の応答も本物のウェブサイトにリレーされるからです。この方法では、どんな認証が行われても、被害者がそれを解決してくれることになります。
従来の PIN コードによる多要素認証では、このような攻撃には対抗しきれません。スマートフォンに同意画面を提示するという認証は、SIM スワップ攻撃には効果的ですが、こういったリアルタイム盗聴を防ぐことはできません。
ソリューション領域
ここ数年間で、
デバイスベースの 2 要素認証の自動有効化を始めています 。この認証方法は、従来のパスワード漏洩に効果があるだけでなく、技術の向上に伴い、前述のような高度な形態のフィッシングからの保護にも役立つようになっています。
大まかに分けると、ほとんどのフィッシング対策は次のように分類されます。
ブラウザの UI を改善 し、ユーザーが正規のウェブサイトを見分けられるようにする。
パスワード マネージャ でログイン前にウェブページが本物かどうかを検証する。
メール (最もよく使われる配信チャンネル)とブラウザ の両方でフィッシングを検知し、疑わしいウェブページについて警告する。
自動ログインを防ぐ ことで、前述の中間者攻撃を防止する。
セキュリティ鍵やスマートフォンの Bluetooth 接続を利用して、フィッシングに強い FIDO 認証をする。
Google Prompt 認証を強化し、ユーザーが疑わしいログイン試行を特定できるようにしたり、フィッシングに対抗するための追加手順を導入したりする(別のウェブアドレスに移動する、ログインしているコンピュータと同じワイヤレス ネットワークに接続するなど)。
フィッシングに強い認証を多くのユーザーに展開する
この 10 年間、私たちは
FIDO Alliance の一員として、たくさんの業界パートナーの協力のもと、フィッシングに強い認証メカニズムの展開を懸命に進めてきました。こういった取り組みを通じて、
Titan セキュリティ キー などの物理 FIDO セキュリティ鍵を導入しました。これを使うと、ログインするウェブサイトが本物かどうかを検証することで、フィッシングを防ぐことができます(この検証により、前述の「中間者」フィッシングを防ぎます)。先日には、FIDO Alliance、Apple、Microsoft とともに、フィッシングに強い真にパスワードレスな未来に向けて、大きな節目となる
発表をしました 。すなわち、FIDO ログイン標準のサポートを拡大します。
セキュリティ鍵はたいへん効果的ですが、あらゆる人がキーホルダーにつけて持ち歩くようになるとは思えません。
そこで、このレベルのセキュリティをより身近なものにするため、セキュリティ鍵をスマートフォンに組み込みます。USB でデバイスに接続しなければならない物理 FIDO セキュリティ鍵とは違い、Bluetooth を使ってスマートフォンがログインするデバイスのそばにあることを確認します。これにより、物理セキュリティ鍵と同じく、遠くにいる攻撃者がユーザーを欺いてブラウザのログインに同意させることはできなくなります。「中間者」攻撃は SMS や Google Prompt にも有効ですが、このセキュリティ層が追加されることで、このような攻撃を防ぐことができます。
(なお、Bluetooth の範囲内にあるコンピュータがユーザーとしてログインできるようになるわけでは
ありません 。ユーザーがそのコンピュータからログインすることに同意できるようになるだけです。また、この仕組みは、スマートフォンがログインしようとしているデバイスの近くにあることを確認するためだけに使います。そのため、Bluetooth をオンにする必要があるのはログインの間だけです)
今後の数か月間で、この技術を多くの場所に展開する予定です。そのため、この追加セキュリティ チェックが行えるように、ログイン時に Bluetooth を有効にするリクエストが表示されることがあるかもしれません。Android スマートフォンで Google アカウントにログインしている場合は、Google Prompt と同じように、スマートフォンを自動登録できます。そのため、一切追加設定をすることなく、この追加のセキュリティ層を多くのユーザーに提供できます。
ただし、この安全なログイン方式は、どこでも利用できるわけではありません。Bluetooth をサポートしていないコンピュータや、セキュリティ鍵をサポートしていないブラウザにログインする場合は利用できません。そのため、すべての人がフィッシングに強いセキュリティを利用できるようにするのであれば、セキュリティ鍵が利用できない場合のバックアップを提供する必要があります。そして、そのバックアップも、攻撃者に利用されることがないように、十分に安全なものでなければなりません。
フィッシング対策として既存の認証を強化する
ここ数か月の間に、従来の Google Prompt 認証をフィッシングに強くする実験を始めています。
現時点で、すでに状況に応じて認証操作が変わるようになっています。たとえば、「許可」と「拒否」のクリックに加えて、PIN コードと画面に表示されている内容を照合することが求められる場合があります。これは、認証に同意させようとする静的フィッシング ページへの対策として有効です。
また、リスクが高い状況でさらに多くの操作を求める実験も開始しています。たとえば、フィッシング攻撃者のものと思われるコンピュータからログインしている場合に、目立つように警告を表示します。あるいは、スマートフォンとログイン操作を行っているコンピュータが確実に近くにあることを確認するため、両方が同じ Wi-Fi ネットワークに接続することを求めます。この対策により、セキュリティ鍵に Bluetooth を使う仕組みと同じように、意図せずに「中間者」フィッシング ページにログインしてしまうことを防止できます。
すべてを統合する
ここで紹介した方法は、いずれもアカウントのセキュリティを劇的に高めるものです。しかし、当然ながら、これが難しいユーザーもいます。そのため、ユーザビリティにも注目したリスクベースのアプローチの一環として、これらの方法を徐々にロールアウトしています。リスクが高いと判断されたアカウントや、異常な動作が見られたアカウントには、先ほどのような追加セキュリティ対策が導入される可能性が高くなります。
今後、FIDO2 認証がさらに普及すれば、多くのユーザーに対してそれをデフォルトにできると考えています。すると、今回説明したような既存の認証をさらに強固にしたものを使って、安全なフォールバックを提供できるようになります。
ブラウザの自動処理を検知して「中間者」攻撃を防ぐ、Chrome や Gmail でユーザーに警告する、Google Prompt の安全性を強化する、Android スマートフォンを使いやすいセキュリティ鍵として自動的に有効化するなど、ここで紹介した新手法を連携すれば、ユーザーをフィッシングから守る仕組みをさらに強化できます。
フィッシング攻撃は古くからの根強い脅威ですが、最新技術によって、オンラインでの安全を享受できるユーザーを増やすための画期的な対策を実現できるようになっています。
Reviewed by
Eiji Kitamura - Developer Relations Team
この記事は Google アカウント セキュリティ チーム、ソフトウェア エンジニア、Daniel Margolis による Google Online Security Blog の記事 "Taking on the Next Generation of Phishing Scams " を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
セキュリティ技術は毎年向上しており、ブラウザが進化して 、ウェブの暗号化が普及し 、認証が強固になっています。しかし、フィッシングは依然として脅威であり続けています(米国労働省への先日のフィッシング攻撃 からもわかります)。その原因は、単純なパスワードだけで世界中どこからでもオンライン アカウントにログインできる状態が続いているところにあります。そこで今回の I/O では、フィッシングのリスクを減らす新たな方法として、Google ドキュメント、スプレッドシート、スライドのフィッシング保護の拡大、2 段階認証の自動登録の継続などについてお知らせしました 。このブログでは、フィッシングの手法と、それがどのように進化しているかについて詳しく説明します。
フィッシングの広がりとともに、攻撃者が多要素認証を狙うことが多くなっています。たとえば、正規の「ワンタイム パスコード」(攻撃者が被害者のアカウントにログインしようとして送られたもの)の後に「先ほど受信したコードを返信してください」というなりすましメッセージを送ることで、SMS コードを直接盗み取ろうとする場合があります。
左 :
正規の Google SMS 認証。
右 :
認証コードを共有することを求めるなりすましメッセージ。
また、それよりも高度な動的フィッシング ページを使ってリレー攻撃が行われることもあります。この攻撃では、通常のフィッシング攻撃と同じように、ユーザーは目的のサイトにログインしていると思いこんでいます。しかし、単なる静的なフィッシング ページで被害者がログインしようとしたときにメールとパスワードを取得しようとするのではなく、情報を盗むと同時に実際のウェブサイトにログインするウェブサービスが使われています。
最も簡単な方法は、既製の「リバース プロキシ」をほぼそのまま利用することです。これが「中間者」として動作し、入力を正規のページに転送し、正規のページからの応答をブラウザに送り返します。
こういった攻撃を防ぐのは困難です。攻撃者に提示される追加の認証画面(SMS コードのプロンプトなど)も被害者にリレーされ、被害者の応答も本物のウェブサイトにリレーされるからです。この方法では、どんな認証が行われても、被害者がそれを解決してくれることになります。
従来の PIN コードによる多要素認証では、このような攻撃には対抗しきれません。スマートフォンに同意画面を提示するという認証は、SIM スワップ攻撃には効果的ですが、こういったリアルタイム盗聴を防ぐことはできません。
ソリューション領域
ここ数年間で、
デバイスベースの 2 要素認証の自動有効化を始めています 。この認証方法は、従来のパスワード漏洩に効果があるだけでなく、技術の向上に伴い、前述のような高度な形態のフィッシングからの保護にも役立つようになっています。
大まかに分けると、ほとんどのフィッシング対策は次のように分類されます。
ブラウザの UI を改善 し、ユーザーが正規のウェブサイトを見分けられるようにする。
パスワード マネージャ でログイン前にウェブページが本物かどうかを検証する。
メール (最もよく使われる配信チャンネル)とブラウザ の両方でフィッシングを検知し、疑わしいウェブページについて警告する。
自動ログインを防ぐ ことで、前述の中間者攻撃を防止する。
セキュリティ鍵やスマートフォンの Bluetooth 接続を利用して、フィッシングに強い FIDO 認証をする。
Google Prompt 認証を強化し、ユーザーが疑わしいログイン試行を特定できるようにしたり、フィッシングに対抗するための追加手順を導入したりする(別のウェブアドレスに移動する、ログインしているコンピュータと同じワイヤレス ネットワークに接続するなど)。
フィッシングに強い認証を多くのユーザーに展開する
この 10 年間、私たちは FIDO Alliance の一員として、たくさんの業界パートナーの協力のもと、フィッシングに強い認証メカニズムの展開を懸命に進めてきました。こういった取り組みを通じて、Titan セキュリティ キー などの物理 FIDO セキュリティ鍵を導入しました。これを使うと、ログインするウェブサイトが本物かどうかを検証することで、フィッシングを防ぐことができます(この検証により、前述の「中間者」フィッシングを防ぎます)。先日には、FIDO Alliance、Apple、Microsoft とともに、フィッシングに強い真にパスワードレスな未来に向けて、大きな節目となる発表をしました 。すなわち、FIDO ログイン標準のサポートを拡大します。
セキュリティ鍵はたいへん効果的ですが、あらゆる人がキーホルダーにつけて持ち歩くようになるとは思えません。
そこで、このレベルのセキュリティをより身近なものにするため、セキュリティ鍵をスマートフォンに組み込みます。USB でデバイスに接続しなければならない物理 FIDO セキュリティ鍵とは違い、Bluetooth を使ってスマートフォンがログインするデバイスのそばにあることを確認します。これにより、物理セキュリティ鍵と同じく、遠くにいる攻撃者がユーザーを欺いてブラウザのログインに同意させることはできなくなります。「中間者」攻撃は SMS や Google Prompt にも有効ですが、このセキュリティ層が追加されることで、このような攻撃を防ぐことができます。
(なお、Bluetooth の範囲内にあるコンピュータがユーザーとしてログインできるようになるわけではありません 。ユーザーがそのコンピュータからログインすることに同意できるようになるだけです。また、この仕組みは、スマートフォンがログインしようとしているデバイスの近くにあることを確認するためだけに使います。そのため、Bluetooth をオンにする必要があるのはログインの間だけです)
今後の数か月間で、この技術を多くの場所に展開する予定です。そのため、この追加セキュリティ チェックが行えるように、ログイン時に Bluetooth を有効にするリクエストが表示されることがあるかもしれません。Android スマートフォンで Google アカウントにログインしている場合は、Google Prompt と同じように、スマートフォンを自動登録できます。そのため、一切追加設定をすることなく、この追加のセキュリティ層を多くのユーザーに提供できます。
ただし、この安全なログイン方式は、どこでも利用できるわけではありません。Bluetooth をサポートしていないコンピュータや、セキュリティ鍵をサポートしていないブラウザにログインする場合は利用できません。そのため、すべての人がフィッシングに強いセキュリティを利用できるようにするのであれば、セキュリティ鍵が利用できない場合のバックアップを提供する必要があります。そして、そのバックアップも、攻撃者に利用されることがないように、十分に安全なものでなければなりません。
フィッシング対策として既存の認証を強化する
ここ数か月の間に、従来の Google Prompt 認証をフィッシングに強くする実験を始めています。
現時点で、すでに状況に応じて認証操作が変わるようになっています。たとえば、「許可」と「拒否」のクリックに加えて、PIN コードと画面に表示されている内容を照合することが求められる場合があります。これは、認証に同意させようとする静的フィッシング ページへの対策として有効です。
また、リスクが高い状況でさらに多くの操作を求める実験も開始しています。たとえば、フィッシング攻撃者のものと思われるコンピュータからログインしている場合に、目立つように警告を表示します。あるいは、スマートフォンとログイン操作を行っているコンピュータが確実に近くにあることを確認するため、両方が同じ Wi-Fi ネットワークに接続することを求めます。この対策により、セキュリティ鍵に Bluetooth を使う仕組みと同じように、意図せずに「中間者」フィッシング ページにログインしてしまうことを防止できます。
すべてを統合する
ここで紹介した方法は、いずれもアカウントのセキュリティを劇的に高めるものです。しかし、当然ながら、これが難しいユーザーもいます。そのため、ユーザビリティにも注目したリスクベースのアプローチの一環として、これらの方法を徐々にロールアウトしています。リスクが高いと判断されたアカウントや、異常な動作が見られたアカウントには、先ほどのような追加セキュリティ対策が導入される可能性が高くなります。
今後、FIDO2 認証がさらに普及すれば、多くのユーザーに対してそれをデフォルトにできると考えています。すると、今回説明したような既存の認証をさらに強固にしたものを使って、安全なフォールバックを提供できるようになります。
ブラウザの自動処理を検知して「中間者」攻撃を防ぐ、Chrome や Gmail でユーザーに警告する、Google Prompt の安全性を強化する、Android スマートフォンを使いやすいセキュリティ鍵として自動的に有効化するなど、ここで紹介した新手法を連携すれば、ユーザーをフィッシングから守る仕組みをさらに強化できます。
フィッシング攻撃は古くからの根強い脅威ですが、最新技術によって、オンラインでの安全を享受できるユーザーを増やすための画期的な対策を実現できるようになっています。
Reviewed by Eiji Kitamura - Developer Relations Team