高度化するフィッシングに対抗する、フィッシング耐性が高いMFA（多要素認証）とは？

フィッシングが社会問題化しています。フィッシングとは、実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。企業は、フィッシングによる被害をできるだけ発生させないように「フィッシング耐性」を高める必要があります。

この記事では、フィッシング耐性とは何かを具体的に説明するとともに、解決策の1つである多要素認証（MFA：Multi-Factor Authentication）に注目します。特に、フィッシング耐性を低くしてしまうMFAとはどんなものなのか、に焦点を当てます。その点を説明した上で、Webサイトを運用している方を対象に、筆者が考えるフィッシング対策のベストプラクティスをお伝えします。

フィッシング耐性とは何か

フィッシング耐性とは、広い意味では、フィッシングに遭遇した場合にどれくらい耐えられるかということですが、ここでは、Webサイトにログインする場面に絞って説明します。その指標の1つが、ログインしようとしているWebサイトが本物か偽物かの判定をユーザに依存せずにできるかどうか、という点です。

では、「ログインを必要としているWebサイトが本物か偽物かを判定する」とはどういうことでしょうか。まず、フィッシング耐性が低いケースを説明します。

フィッシング耐性が低いとは？

IDとパスワードに加えて、Google Authenticatorなどの認証アプリを利用するMFAが必要なWebサイトはどうでしょうか。こちらも、先に挙げた指標に即して言うならば、残念ながらフィッシング耐性が低いと言わざるを得ません。認証アプリは、決められたロジックにしたがってワンタイムパスワードを生成しているだけですので、ログインしようとしているWebサイトが本物か偽物かは感知しません。これでは結局、ユーザの判定に依存していることになります。

しかし、ログインする際に、MFAを要求する真正Webサイトに対して、偽物のWebサイトを作ったところで、攻撃者は有益な情報を窃取・詐取できるのでしょうか。攻撃者にとっては、IDとパスワードだけでも有益な情報ではありますが、MFAを突破して実際にログインができるとなると、その価値は飛躍的に高まります。ログインした者しかできないことができるわけですから。それだけに、攻撃者側も知恵を絞り、策をめぐらせているのです。

そうです、フィッシング耐性が低いMFAだけでは突破される事例が出ているのです。MFAが突破される事例と、突破される理由について、以前のLAC WATCH記事「MFA（多要素認証）でさえ突破されている～WebAuthnがおすすめな理由 #1～」で紹介していますので、ご参照ください。

わたしたちの生活にはインターネット上でのサービスが、もはやなくてはならないインフラそのものになっています。そういった状況のなか、フィッシングの手法やツールの類は日々、高度化・洗練化しています。そしてまた、そのように高度化・洗練化された手法やツールの類は、ごく一部の高度な攻撃者だけが仕掛けるものではなくなりつつあります。そのためにフィッシング被害が深刻化し、急増しているという現実に私たちは直面しているのです。

このような状況のもと、フィッシング耐性が低い認証機構しか用意していないWebサイトでは、ユーザを守ることができません。

フィッシング耐性が高いとは？

冒頭で、「ログインしようとしているWebサイトが本物か偽物かの判定をユーザに依存せずにできるかどうか」ということが1つの指標として考えられるとお話ししました。この指標に沿った時に、「フィッシング耐性が高い」とはどういうことなのでしょうか。この点についてもう少し説明します。

フィッシング耐性が高い認証の仕組み

人間の場合には、ブラウザ画面に表示される内容や、URL、サーバ証明書などをみて判定することが多いと思います。ですが、それだけではやはり誤判定のリスクを払拭できません。

もともと、SMSやメールに記載されたリンクをクリックしている時点で、そのリンク先が本物か偽物かを疑っていない可能性が高いですし、リンクをクリックして開いた画面が本物と同じようなデザインであれば、いちいち確認しないでしょう。

しかし、これからログインしようとしているWebサイトが本物か偽物か、人間の判定に依存せずに確認する仕組みを組み込んだ方式があります。それがWebAuthn（ウェブオースン）です。

この方式の場合、ログインしようとしているWebサイトから「チャレンジ」と呼ばれる情報がクライアントに送られてきます。このチャレンジには、ランダムな文字列とOriginが含まれています。Originとは、例えば https://www.lac.co.jp:443/ のようにスキーム、ホスト、ポート番号までを含めたサーバの身元を特定するための情報のようなものです。クライアント側では、あらかじめ本物のWebサイトのOriginを登録しておくので、「チャレンジ」を受け取った際にその中からOriginを取り出して比較することにより、その送り主が本物か偽物かを判定できる、というわけです。しかも人間の判定を介在していませんので、誤判定ということがありません。

SMSやメールに記載されたリンクをクリックして、IDとパスワードを入力してしまったとしても、次のMFAの時点で自動的に上記のやりとりが行われ、今ログインしようとしているWebサイトが本物ではないと自動的に判定できる、つまりフィッシングサイトであると判定できるため、不正ログインを防いでくれることになります。これが「フィッシング耐性が高い」ということです。

このあたりの仕組みについては、LAC WATCHの「WebAuthnでセキュリティとユーザビリティを向上させよう～WebAuthnがおすすめな理由 #2～」で説明しておりますので、合わせてご参照いただけますと幸いです。

フィッシング耐性が高い認証機構を導入しましょう！

高度で洗練されたフィッシングサイトが増加しているのはこれまでに述べたとおりです。そもそもフィッシングメールのリンクをクリックしないようにという教育や、メールにフィルターをかけてフィッシングメールを受信しないようにする、フィッシングメールの内のリンクをクリックした際にフィッシングサイトに接続できないようにするなど様々な対策がありますが、Webサイトを運用する側でできる対策として、ログインの際の認証を強化するということをお勧めします。

フィッシング耐性が高く、ユーザビリティにも優れる認証機構

フィッシングに強く、使い勝手が良い認証機構の筆頭はWebAuthnであると考えていますが、それ以外に「Passkeys」という技術もお勧めです。

Passkeys

PasskeysはWebAuthnの発展形であり、その弱点を克服するような技術です。WebAuthnの場合には、秘密鍵を単一のデバイスで登録／管理しているため、例えばスマートフォンが故障したり、機種変更したりする場合には再登録が必要となります。PCでも同じですね。勤務先で社員に対して貸与しているPCをリース契約の期間終了に伴って交換すると、再登録からやり直す必要があります。

その点、Passkeysの場合には、少なくともApple、Google、Microsoftなどそれぞれのベンダー内では秘密鍵をバックアップ／同期する機能をサポートしています（または今後サポートする予定）。例えばiPhoneのFace IDを使ってPasskeysを登録した後、そのiPhoneを機種変更しても再登録の必要が無くそのまま利用できます。それだけではなく、同一のアカウントで利用しているMac PCでも、改めて登録手続きを行うことなくTouch IDなどを使ってそのままPasskeysを利用できます。

Passkeysについては、LAC WATCHの「フィッシング対策のWebAuthnが持つ課題をPasskeysが解決、Apple IDやGoogleアカウントを持つ端末間で認証資格情報を共有」にて、デジタルアイデンティティ・エバンジェリストである稲毛が解説しておりますので、あわせてご参照ください。

最後に

念のために申し上げておきますが、フィッシング耐性が低いMFAは使う意味がないということではありません。IDとパスワードだけでログインすることに比べれば、（たとえフィッシング耐性が低い種類のMFAであったとしても）安全性は飛躍的に高くなります。ですので、重要な情報を取り扱う必要があり、かつIDとパスワードだけでログインできるWebサイトを運用されている方々については、まず何らかのMFAの導入を検討していただければと思います。

その際に、Webサイトの特性やプラットフォーム、ターゲットとなるユーザのプロファイリングを基に、最適なMFAを選択してください。既にMFAを導入されている場合も、フィッシング耐性を高めるために、その有力・有望な候補としてWebAuthnやPasskeysというものがある、ということを知っておいていただけると嬉しいです。

今回の記事をきっかけに、フィッシングの脅威について再認識していただき、認証機構の重要性についてあらためて検討していただければ幸いです。