ホーム > 情報セキュリティ > フィッシング対策にニ要素認証は有効か?

フィッシング対策にニ要素認証は有効か?

乱数表を用いた二要素認証を用いたソリューションに関する記事がITProに掲載されている。

 加えてDowner氏によると,IdentityGuardはフィッシング対策にも使いやすいという。「乱数表を使って送信者認証を実現できる」(Downer氏)とするためだ。具体的には,事業者からユーザーに送るメールの中に,特定の行/列とそこに位置する数字の組み合わせ(例えば,「A列3 行の数字は『4』」)をいくつか記載して送信する。乱数表の情報を知っているのは事業者とユーザーだけなので,この情報が正しければ,そのメールは事業者から送られてきたことが確認できる。

オンラインバンキングなどで認証に使用する質問と答を平文(と思われる)メールの中にセットで書き込んで銀行側から送信するというのはなんとも大胆な発想だ。パスワードに相当するものをメール送信し送信者認証を行うとなると一度でも本文が漏れればリプレイ攻撃が可能になるし、ユーザがオンラインサービスのために利用する乱数表と同じものを送信者認証にも使用するのであれば、銀行が自ら「なりすまし」のためのヒントを漏洩していることになる。

二要素認証でフィッシングで情報を盗まれたとしても、一要素は動的に(乱数表を使って)生成するのでMan-In-the-Middle攻撃をされない限りはパスワードだけの一要素認証より若干安全ですと言うなら話はわかる。

 「ファーミングも心配するような,より高度なセキュリティを求めるシステムには,PKIを利用したVPNソリューション『Entrust TruePass』を提案する」(同氏)。TruePassでは,デジタル証明書を使ってクライアントとサーバー間の認証およびデータの暗号化を行うので,ファーミング対策にもなるという。

「ファーミングを心配する」のが「より高度なセキュリティ」なのかという疑問はおいておくにしても、PKI-VPNを利用してオンラインバンキングサービスを提供するとなれば、同社のいうコストの問題が出てくるため現実的でないだろう。いったい誰のためのファーミング対策だろうか?そもそも、通信の相手を認証するという意味では「フィッシング」も「ファーミング」も同じレベルの脅威となる筈である。

乱数表を使った二要素認証自体はクライアントの認証のためにすでにいくつかのオンラインバンキングでも使われているが、使い方を誤ると新たな危険を生み出す可能性がある。歴史あるセキュリティ専業ベンダーがこのような危険に対する配慮をしていないとは思えないが、今回の記事からは読み取ることができなかった。

【参考情報】
「フィッシングにはニ要素認証で対抗する」――カナダEntrustの上級副社長(ITPro, 7/22)
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050722/165128/

カテゴリー: 情報セキュリティ タグ:
  1. keiji
    2005 年 7 月 26 日 01:14 | #1

    自分でつっこんでみます。
    フィッシング対策としては一要素認証なんで、引用元の記事のタイトルからして少しおかしいですね。
    サイトにアクセスする際のユーザ認証は二要素ですがそのうちの一要素を使って(?)メール送信者の認証を行うというアイデアでしょうか?
    送信者認証用の乱数表はユーザ認証用とは別のものを用意して一回利用する毎に乱数表を更新していくというのであれば、大丈夫そうですが、それだとワンタイムトークンと同じになってしまいますね。
    フィッシングやファーミングの認証についてはリプレイ攻撃とMan in the Middle攻撃の問題をどうクリアするかというのがポイントになるかと思います。

  1. トラックバックはまだありません。

CAPTCHA