Silverfortは、FIDO2認証が中間者攻撃によってバイパスされる可能性があると発表した。同社は複数の認証ツールでこの脆弱性を検証し、どうすればバイパスできるかを解説した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ企業のSilverfortは2024年5月6日(現地時間)、FIDO2の認証プロセスが中間者攻撃(MITM)によってバイパスされる可能性があると指摘した。
FIDO2はパスワードに代わって物理的または組み込みのキーを使用して認証を実施する技術だ。Fast Identity Online(FIDO)アライアンスによって策定されており、主に中間者攻撃やフィッシング、セッションハイジャック攻撃などからユーザーを保護する安全な方法として知られている。
FIDO2の認証フローは、WebAuthn API仕様とClient to Authenticator(CTAP)プロトコルで構成されている。プロセス全体はWebブラウザが管理するため、デバイスの登録と認証の2つのステップで利用できる。通信には公開鍵暗号を使うため、フィッシングや中間者攻撃、セッションハイジャック攻撃のリスクを排除できるとされている。
しかしSilverfortによると、FIDO2による保護をバイパスする中間者攻撃が可能だ。同社は「Yubico」「Entra ID SSO」「PingFederate」といったFIDO2の認証を利用するセキュリティツールのユースケースを公開した。
FIDO2は優れたセキュリティ機能を提供するが、実装するだけでは十分ではないことを認識する必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.