米SANS InstituteやフィンランドF-Secureは現地時間7月12日,米Citibankをかたる「中間者攻撃(man-in-the-middle attack)」タイプのフィッシング詐欺が確認されたことを明らかにした。ワンタイム・パスワードなどの2要素(2因子)認証を使っていても防げないことが特徴。偽サイトは既に閉鎖されている。
中間者攻撃とは,正規の通信の間に“割り込んで”,通信の当事者には気付かれないように通信内容を盗んだり改ざんしたりする攻撃手法。今回のフィッシングでは,ユーザーと正規のWebサイト(Citibankのサイト)の間に割り込む。ユーザーに対しては,攻撃者が構築した偽サイトをCitibankのサイトと思わせ,Citibankのサイトに対しては,偽サイトを同社サービスのユーザーに見せかける。
具体的にはまず,ユーザーに偽メールを送って,偽のログイン・サイトへ誘導する。偽メールには,以下のような文章が書かれている。「あなたの口座に対して,あるIPアドレスから不正と思われるアクセスが確認されました。あなたのIPアドレスを確認するために下記のサイトへアクセスしてログインしてください。3日以内にログインしないと,あなたの口座は一時的に閉鎖されます」。
だまされたユーザーが偽サイトでパスワードなどを送信すると,偽サイトはそれらの情報を本物のCitibankサイトへ送信。同時に,本物のサイトから送られた情報に基づいて偽サイトの表示を変えて本物になりすます。そして,偽サイトから送った情報で本物のサイトへのログインが成功すれば,あとは偽サイトが正規ユーザーになりすまして口座情報の変更や送金などをおこなう。
オンライン・バンキング・サービスなどでは,セキュリティを高めるために2要素認証を積極的に導入している。しかし2要素認証を使っていても,中間者攻撃は防げないことは,以前からセキュリティ・ベンダーや研究者が指摘している。今回は,それが現実のものとなった初めてのケース(あるいは数少ないケースの一つ)とされている。
SANS Instituteでは,2要素認証を使えばなりすましのリスクは軽減されるが,言われているほど安全になるわけではないとしている。2要素認証は,現在アクセスしているサイトが本物かどうかを確認することには使えないためだ。このため,中間者攻撃に対しては効果がない。この問題は,ユーザー認証とは別の方法で解消する必要があるという。
加えてSANS Instituteでは,2要素認証の不十分な点として,エンド・ポイント(ユーザー)のセキュリティは守れないことを挙げる。2要素認証を使っていても,ユーザーのパソコンに悪質なプログラム(キーロガーなど)を仕込まれれば,不正なアクセスを許してしまう。
2要素認証は安全なユーザー認証の手段ではあるが,相互認証(mutual authentication)とエンド・ポイントのセキュリティを考慮していない。このためSANS Instituteでは,ネット・バンキングなどを提供する企業や組織は,これらを考慮した安全な手段を提供する必要があるとしている。
・F-Secureの情報(Man-in-the-middle phishing)
・SANS Instituteの情報(Recent Two factor authentication attacks)