狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上：この頃、セキュリティ界隈で（1/2 ページ）

[鈴木聖子，ITmedia]

　ネット上のアカウントに対する不正アクセスを防ぐため、今や多要素認証は欠かせない対策となった。たとえIDとパスワードが盗まれたとしても、ワンタイムパスワードの入力が必要な状態にしておけば、アカウントは守られるという想定だ。ところがその仕組みを突破しようとする攻撃が増えつつある。

　暗号資産取引所大手のCoinbaseでは、顧客約6000人がSMSを使った多要素認証を突破され、暗号通貨を盗まれる事件が発生した。

　BleepingComputerによると、2021年3月〜5月にかけ、何者かがCoinbase顧客のアカウントに不正侵入して暗号通貨を盗み出していたことが分かった。攻撃者はまずフィッシング詐欺などの手口を使い、顧客がCoinbaseのアカウントに登録したメールアドレスやパスワード、電話番号などの情報を事前に入手していたと思われる。

BleepingComputerの記事

　それでも多要素認証を設定していれば、アカウントへの不正侵入は食い止められるはずだった。しかしCoinbaseのSMSを使ったアカウント復旧プロセスに脆弱性があったことが判明。攻撃者はこの問題を突いてSMSの2要素認証トークンを入手し、顧客の暗号通貨を盗み出していた。

　多要素認証破りに使われるのは脆弱性を突く手口ばかりとは限らない。セキュリティ企業のIntel 471によると、アンダーグラウンドのサイバー犯罪集団は詐欺グループ向けに、狙った相手のワンタイムパスワードを傍受できる、とうたうサービスを展開しているという。

Intel 471の記事

　そうしたサービスは、例えば銀行からの正規の電話を装って被害者をだまし、ワンタイムパスワードなどの認証コードを入力するよう仕向ける作業をbotが代行する。詐欺グループは被害者が入力した認証コードを傍受できるという仕組みだ。標的は銀行だけでなく、PayPalやApple Pay、Google Payといった決済サービス、さらにはFacebook、Instagram、Snapchatといった大手SNSのアカウントを選択することもできる。

　Intel 471が発見したサービスは2021年6月から稼働していて、いずれもメッセージングアプリ「Telegram」のbot経由で運用されていた。専用のTelegramチャネルでは、被害者の口座から数千ドルを盗んだといった会話が交わされていたという。