【セキュリティ】電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない [すらいむ★]

**すらいむ ★** · 2021/12/13(月) 10:02:12.05

電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない

　ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。
　パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。

　Bypassing 2FA - Secret double octopus
　https://doubleoctopus.com/blog/threats-and-alerts/bypassing-2fa/

（以下略、続きはソースでご確認ください）

Gigazine 2021年12月12日 20時00分
https://gigazine.net/news/20211212-bypassing-2fa/

**名無しのひみつ** · 2021/12/13(月) 10:04:22.01

ハッカーってどんだけすごいの？

**名無しのひみつ** · 2021/12/13(月) 10:08:49.91

にんどすハッカッカー

**名無しのひみつ** · 2021/12/13(月) 10:21:53.82

パスワードレス認証を事業にしてる企業の広告やんけ

**名無しのひみつ** · 2021/12/13(月) 10:22:14.83

>>2
>>1 もそうだけど、ハッカーの誤用

**名無しのひみつ** · 2021/12/13(月) 10:23:33.81

なら、どうしろって感じだが

**名無しのひみつ** · 2021/12/13(月) 10:30:59.01

もうスマホに物理キー付けようぜ

**名無しのひみつ** · 2021/12/13(月) 10:37:49.81

んー、要はフィッシングで破ってるだけで
あんまりクラッカーらしさが感じられないなｗ

**名無しのひみつ** · 2021/12/13(月) 10:39:52.28

ブラウザ攻撃の男がすごいってことはよくわかった

**名無しのひみつ** · 2021/12/13(月) 10:42:02.40

いいたことは一言です。シークレットダブルオクトパスの
OctopusAuthenticatorを買ってください！
OctopusAuthenticatorを買ってください！
OctopusAuthenticatorを買ってください！

すべての雹のパスワードなしの認証
この混乱から抜け出す方法は簡単です?パスワードを手放します。

シークレットダブルオクトパスのOctopusAuthenticatorは、
人間がパスワードを考え出し、管理し、記憶し、入力する必要のない、
シームレスで数学的に破られない認証を提供する唯一のパスワードレスソリューションで
Octopusは、ユーザーエクスペリエンスからパスワード関連の煩わしさ
完全に排除しながら、最高の認証保証を提供します。

シークレットダブルタコスタッフによって書かれた
サイバーセキュリティ業界で100年以上の経験を組み合わせた当社のスタッフは、
知識とビジョンを共有しています。

**名無しのひみつ** · 2021/12/13(月) 10:42:21.18

認証コードの送信元が本物かどうか認証コードを送って確認させよう

**名無しのひみつ** · 2021/12/13(月) 10:43:29.09

>>2
ハッカーよりもすごいのは、
シークレットダブルオクトパスのOctopusAuthenticator
です。買ってください！

>>4
> パスワードレス認証を事業にしてる企業の広告やんけ
黙ってろ

>>6
> なら、どうしろって感じだが
いい製品がありますよ？買いませんか？

**名無しのひみつ** · 2021/12/13(月) 10:47:55.78

これからは臭い認証が主流になります

**名無しのひみつ** · 2021/12/13(月) 10:50:50.64

わかった、ハッカはやめて、ニッキかシナモンにするわ

**名無しのひみつ** · 2021/12/13(月) 10:50:50.89

わかった、ハッカはやめて、ニッキかシナモンにするわ

**名無しのひみつ** · 2021/12/13(月) 10:54:25.26

FAXで送るか
伝書鳩使え

**名無しのひみつ** · 2021/12/13(月) 10:58:26.92

やっぱり紙にハンコが最強なんだよ
これならハッカーも手が出ない (^_^)

**名無しのひみつ** · 2021/12/13(月) 11:02:25.94

>>1
「ブラウザを乗っ取られたら2要素認証は危険です、
だから弊社のソリューションを使いましょう！」

いやブラウザ乗っ取られた時点で完全に終わってんだろ
認証だけ安全でも意味ないってのw
アホじゃねーのか

**名無しのひみつ** · 2021/12/13(月) 11:15:21.78

安全の種類が違うだろ
偽サイトなんだから

**名無しのひみつ** · 2021/12/13(月) 11:15:58.65

いまのところトークンがもっとも安全じゃないの？
電話番号に届くって一番恐怖？を感じていたんだが・・
要するにSMSだろ。番号バレバレじゃないか！といつも思っていたわ。
トークンは電池交換がなんちゃらで廃れたが電卓と同じように交換
出来る構造にすればいいだろうにと思うんだが～。しかもトークンは
製造するコストが掛かるため廃止した理由なんだろうね。
希望者には2000円で頒布とか、電卓より高額、ぼったくりかよーとおもふ。

**名無しのひみつ** · 2021/12/13(月) 11:35:56.31

ブラウザ乗っ取れるなら銀行襲えば何千兆で大事件だ。

**名無しのひみつ** · 2021/12/13(月) 11:40:22.27

アカウントから二要素目の電話番号をクラックするのかと思ったけど
単純なフィッシング詐欺じゃん

**名無しのひみつ** · 2021/12/13(月) 11:45:14.14

カウンター攻撃する組織を作らんとダメ

**名無しのひみつ** · 2021/12/13(月) 11:57:49.12

乗っ取られないブラウザ　または乗っ取られない方法あるのか？

**名無しのひみつ** · 2021/12/13(月) 12:03:51.17

>>20
同意。持ち運びとか面倒だけど、表示端末が通信機能を持たず
スタンドアロンで稼働しているメリットは大きい。

**名無しのひみつ** · 2021/12/13(月) 12:11:07.79

>>2
物理的な攻撃対象が判れば
100%突破する

**名無しのひみつ** · 2021/12/13(月) 12:33:33.11

深夜に偽造simで瞬間芸やれば行けちゃうだろ

**名無しのひみつ** · 2021/12/13(月) 12:37:48.06

たあんたごうたかしとけたばだたいたじょうたぶ🐻

**名無しのひみつ** · 2021/12/13(月) 12:56:22.38

はい　論破

・ハッカーはまず、ユーザーに「お客様のユーザーアカウントが不審なIPアドレスからのアクセスを受けました。確認のため、電話番号に送信された認証コードを返信してください」といったメッセージを送信する。
・ハッカーは次に、ユーザーの代わりにIDとパスワードを入力して侵入したいサービスにログインする。
・サービスは、正規ユーザーからログインされたと勘違いしてユーザーに2FA用の認証コードを送る。
・ユーザーがその認証コードをハッカーに返信してしまう。

シナリオ2：ハッカーがまだIDやパスワードを持っていない場合
・ハッカーは最初に、正規のサービスからのメールに見せかけた巧妙なメールをターゲットに送る。

**名無しのひみつ** · 2021/12/13(月) 13:30:31.20

>>20
ハードウェアトークンもソフトウェアトークンもSMSも、
なんならメールへのワンタイムパス送付も、セキュリティ強度は同じ

番号が攻撃者にバレたところで何の影響もない
それで問題になる1のような手法だと、そもそもどんな二要素認証でも突破されるが…偽のサイトでバイパスって現実的じゃないよなぁ

**名無しのひみつ** · 2021/12/13(月) 13:33:29.10

1セッション2FAがだめなら2セッション2FAにすればいいじゃない

**名無しのひみつ** · 2021/12/13(月) 13:33:29.10

1セッション2FAがだめなら2セッション2FAにすればいいじゃない

**名無しのひみつ** · 2021/12/13(月) 13:34:49.41

クソゴミ認証

**名無しのひみつ** · 2021/12/13(月) 13:37:15.05

おまえら、メルカリのアプリで免許証持って顔写真撮影したの？

**名無しのひみつ** · 2021/12/13(月) 13:38:59.77

マンインザミドルを前提にするとどんなセキュリティでも担保出来ないというのは置いておき、
本人がその場で発行する必要があるので強度は同じだと思うけど、
電話での認証だとメッセージ経由でフィッシングに引っ掛かりやすいってのはあるかもね。多少無理感はあるが。

**名無しのひみつ** · 2021/12/13(月) 13:41:14.87

記事最後まで読んだらただの宣伝だった
やられたわw

**名無しのひみつ** · 2021/12/13(月) 14:09:43.16

>>35
アホ
MITMならIPアドレス違うのだからEV SSL証明で見分けられる
ブラウザがクラックされて上記を偽装されてるなら、そもそもクラック被害を受けているから詰み

**名無しのひみつ** · 2021/12/13(月) 14:10:23.13

パスワードという知識要素以外に他の要素も組み合わせるから二要素認証として
セキュリティが高まるんであって、その要素が「認証番号」じゃあ片手落ちなんだよね
結局パスワード2つ入力させる程度の役にしか立ってない

**名無しのひみつ** · 2021/12/13(月) 14:32:20.24

霞ヶ関と間違って霞ヶ浦が標的になったときは、ハッカーは誤爆を謝ってたよね。

**名無しのひみつ** · 2021/12/13(月) 14:39:39.93

ウワッチ・・・
つい1週間ほど前にやっちまったわ。
美術館の特別展が密を防ぐと言うので厳密な入場制限と予約優先やってて電話番号に届いたショートメールの暗証番号を打ちこんでしまったわ。

その時から15億4千万円当選しましただの寂しい熟女だの家出少女だのスパムメールが再び

**名無しのひみつ** · 2021/12/13(月) 14:44:35.99

３要素になるの？

**名無しのひみつ** · 2021/12/13(月) 14:58:05.29

>>29
最初のコードを返信するやついるか？
って100人送れば1人ぐらいいるから破られるんだろうな

**名無しのひみつ** · 2021/12/13(月) 14:59:06.79

とっくに変わっているじゃん。
認証コードの入力ではダメ。

携帯電話そのものを手に持っていて、はいを押さないとダメになった。
ハッカーは、電話そのものがないから、はいを押せないじゃんw

**名無しのひみつ** · 2021/12/13(月) 15:10:10.68

ＦＡＸ最強伝説

**名無しのひみつ** · 2021/12/13(月) 15:52:49.28

【韓国】将来が不安なら、日本留学も考慮してみよう[12/11] [ハニィみるく（17歳）★]

**名無しのひみつ** · 2021/12/13(月) 15:52:49.56

【韓国】将来が不安なら、日本留学も考慮してみよう[12/11] [ハニィみるく（17歳）★]

**名無しのひみつ** · 2021/12/13(月) 16:18:55.71

電話番号なんて怖くて一度も登録したこと無いです

**名無しのひみつ** · 2021/12/13(月) 16:21:42.07

長崎じゃ車のナンバープレートから住所名前電話番号まで簡単に入手する公的期間の職員がいるから　((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ　怖い

**名無しのひみつ** · 2021/12/13(月) 16:24:02.54

なんか内容が微妙だなと思ったらPR記事かよ
例として挙げられてる方法がどれもあまり現実的ではない

**名無しのひみつ** · 2021/12/13(月) 16:29:02.20

これ無駄に思えるし不便なことこの上ない

**名無しのひみつ** · 2021/12/13(月) 16:38:06.71

SMSってGSM経由することがあるから元々安全じゃないけど、それ以前にフィッシングで本人から聞き出せばどうにでもなるわな

**名無しのひみつ** · 2021/12/13(月) 17:25:21.56

石版にしようぜ！

**名無しのひみつ** · 2021/12/13(月) 17:49:51.53

>>1
最後まで読んだら宣伝だったw

**名無しのひみつ** · 2021/12/13(月) 17:51:26.62

グーグルのやつめんどくさい

**名無しのひみつ** · 2021/12/13(月) 17:56:16.64

使いまわしてないパスワードなら
変える必要ないのに
相変わらず定期的に変えろと
アナウンスしてくるとこ多いな

**名無しのひみつ** · 2021/12/13(月) 18:15:02.77

>>2
対人戦だから必ず新しい 0 day attack というガード不能連携を用意してくるぞ

**名無しのひみつ** · 2021/12/13(月) 18:20:56.27

これからは肛門の皺認証の時代

**名無しのひみつ** · 2021/12/13(月) 19:42:08.03

2段階認証に脆弱性があるんじゃなくて、2段階認証で安心してるユーザーを
騙す手口があるってだけの話だった。

**名無しのひみつ** · 2021/12/13(月) 20:03:08.32

これ迷惑　外国で使えない

**名無しのひみつ** · 2021/12/13(月) 21:53:45.15

>>2
どんな秘密もハッカーまで持っていくって言うだろ

**名無しのひみつ** · 2021/12/13(月) 21:57:50.38

ソース見てやっぱりなーって思ったけど、保険なんて入ってないのにアフラックからメールが何件も入ってたんだよね
親が勝手に入ってるのかとちょっと思ったけど、そのメアドって親に教えてないんだわ
凄くよく出来てたけど、フィッシングメールだったんだな

**名無しのひみつ** · 2021/12/13(月) 22:03:15.46

トークンタイプのワンタイムパスワードで殴るわ

**名無しのひみつ** · 2021/12/13(月) 22:10:06.79

カネが動いてるか不明だけどステマ疑惑

**名無しのひみつ** · 2021/12/13(月) 22:28:53.31

スマホ置いて席を外した隙に二要素認証のサービスをそいつの電話番号で登録
送られてきた通知のパスワードを覗き見てすかさず登録

**名無しのひみつ** · 2021/12/14(火) 09:26:02.98

皆のアカウントに自由に出入りできるようにしよう

**名無しのひみつ** · 2021/12/14(火) 09:45:51.08

そういえば反ワクって二要素認証にはケチつけないよな。
「三要素認証、四要素認証と永久に増やし続けないといけないドーピング体質」っていうのは聞いたことがない。

時代とともに数が増えているものなんてワクチン摂取数や認証段階に限らないと思うけどな。cpuのトランジスタ数なんて8086から比べたらワクチンの回数なんてお話しにならないくらい増えてんのにな

アイツラ認証には恨みはないけどワクチンには親殺されたとかなんかか？

**名無しのひみつ** · 2021/12/14(火) 10:31:15.81

「セキュリティのために、貴方のお母さんの旧姓も入力してください」

「セキュリティのために、飼っていた犬の名前も入力してください」

「セキュリティのために、貴方の本籍も入力してください」

「セキュリティのために、貴方の銀行口座のパスワードも入力してください」

**名無しのひみつ** · 2021/12/14(火) 11:31:45.30

>>66
何このキチガイw
朝鮮人？

**名無しのひみつ** · 2021/12/14(火) 23:44:26.04

超ウィザード級ハッカー

**名無しのひみつ** · 2021/12/15(水) 09:49:19.55

フィッシングにひっかかるアホには効果無いって話だな

**名無しのひみつ** · 2021/12/15(水) 21:49:01.92

ログインしようとするやつの
本人確認って意味では有効なんじゃねえの　本人確認以外にセキュリティ的に何か必要か　不足ならワンタイムパスワードでいけばいいんじゃね

**名無しのひみつ** · 2021/12/15(水) 22:05:34.21

オレオレ詐欺演る人も一種のハッカーだなｗ

**名無しのひみつ** · 2021/12/15(水) 22:13:21.53

2 factor authorityだっけ？
何でもかんでも携帯番号に紐付けすればいいってもんじゃないけどね
ひと昔前の楽なアカウント管理に戻りたい
パスワード2つでもいいから前の方が楽だった

**名無しのひみつ** · 2021/12/15(水) 23:07:56.57

そもそもアカウント不要

**名無しのひみつ** · 2021/12/16(木) 07:32:14.58

玄関のドアスコープ、のぞき対策は　単眼鏡で外から簡単に盗撮も
https://www.asahi.com/articles/ASPDH2J8DPDGPTIL02H.html

犯罪の方法を世間に広く紹介するのが、朝日新聞の務めであるらしい。

**名無しのひみつ** · 2021/12/16(木) 07:38:42.11

結局スタンドアロン最強という事でFA
電子セキュリティより物理的セキュリティの方が遥かに楽だ
FAXでいいじゃん

めんどくさい？しらんがな