二要素認証(two-factor authentication, 2FA)を破ろうとするハッカーは、ユーザーに偽のログインページを送り、ユーザー名とパスワードとセッションクッキーを盗む。
KnowBe4のチーフ・ハッキング・オフィサー(Chief Hacking Officer) Kevin Mitnick*が、そのハックをビデオで公開している(下図)。ユーザーがLinkedInを訪ねようとしたら、一字違いの“LunkedIn.com”のページを送ってログインさせ、パスワードと認証コードを捉える。そしてそれらを使って本物のサイトにアクセスしたハッカーは、セッションクッキーを入手する。そのあとハッカーは、いつまでもログインできる。これは要するに、一回かぎりの2FAコードを使って偽のログインをし、データを盗むのだ。〔*: Mitnickの著書。〕
“Kevinの友だちのホワイトハットハッカー(white hat hacker, 犯罪行為をしない研究者的ハッカー)が、ソーシャルエンジニアリングの巧妙なやり方で二要素認証をバイパスするツールを開発し、それを使うとどんなサイトでも破れる”、とKnowBe4のCEO Stu Sjouwermanは語る。“二要素認証はセキュリティの層を一つ増やすが、でもそれだけで企業を守ることはできない”。
ホワイトハットハッカーのKuba Gretzkyが作ったそのevilginxと呼ばれるシステムは、彼のサイトに詳しい技術的説明がある。
Sjouwermanによると、セキュリティ教育の中でもとくに重要なのがフィッシング対策であり、被害者がセキュリティについてよく知り、メール中のリンクをクリックすると危険!と知っていたら、このようなハックは成功しない。そのことをぼくに教えるために彼は、本誌ライターのMatt Burns(matt@techcrunch.com)が、記事中の誤字について述べているメール(偽メール)を送ってきた。そのメールにあるリンクをクリックしたらリダイレクトサイトSendGridへ連れて行かれ、そこからTechCrunchに放り込まれた。しかしそのペイロードは、きわめて悪質だった。
そしてSjouwermanは曰く、“これで分かったと思うが、今や新しいセキュリティ意識が必要であり、とくにフィッシングをシミュレーションで体験することが重要だ。なぜなら、防衛ラインの最後尾を固めているのはソフトでもハードでもなく、人間だからだ”。
彼の予想では、この偽メールを使ったテクニックが数週間後に流行(はや)って、ユーザーとIT管理者はセキュリティのためのプロトコルを強化せざるをえなくなるだろう、という。