まだテキストや認証アプリでログインコードを受け取っていますか?それは大きな問題だ。以前はスマートなセキュリティレイヤーのように感じられたものが、今では攻撃者があなたのアカウントにアクセスする最も簡単な方法の1つになっている。
最初に、MFAにはSMSを使えと言われた。そしてこう言われた:「MFAにSMSを使うな、代わりに認証アプリを使え」と。
そして、それは一歩前進したように見えるかもしれないが、根本的にはまだ欠陥がある。認証アプリは、メッセージの傍受を避けることでSMSよりも改善されているが、(今では毎日)簡単にフィッシングされ、多くの場合、フィッシングや中継、あるいはデバイスが侵害された場合に傍受される可能性のある時間ベースのコードに依存している。
核心的な問題は、システムが正規のサイトで使用されているのか、それとも完全な偽物なのかがわからないということだ。つまり、異なるシステムとはいえ、安全なシステムではなく、同じ問題の壊れたバージョンに過ぎないのだ。
証拠は?アフラック、エリー保険会社、フィラデルフィア保険会社を含む)最近の有名な情報漏えいは、これがいかに簡単かを正確に示している。
MFAのバイパスやリセットを求めるITヘルプデスクへの電話もあった。しかし、フィッシングやなりすましの手口は、急速に広まりつつある。
フィッシング・メールが届く。ユーザーはクリックする。なりすましのウェブサイトはピクセル・パーフェクトである。ユーザーはユーザー名とパスワードを入力し、認証アプリで本人であることを確認する。完了。攻撃者は侵入した。
認証アプリは誰がリクエストしたのか、リクエストがどこから来たのかを確認しないため、攻撃ベクトルはあなた自身となる。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
text-align: center;
width: 100%;
}
}
CISOガイド:次世代MFAでランサムウェアを阻止する
ランサムウェア攻撃がどのように進化しているのか、なぜレガシーMFAでは追いつけないのかを探るためにダウンロードしてください。
このガイドでは、フィッシングに強いMFAが現実に与える影響、被害が発生する前にランサムウェアを阻止する方法、CISOが次世代認証に切り替える理由を明らかにします。
認証アプリやSMSコードはリアルタイムでフィッシングされる可能性があります。認証アプリやSMSコードはリアルタイムでフィッシングされる可能性があり、ユーザーに誤った安心感を与える一方で、現在最も一般的な脅威であるソーシャル・エンジニアリングと組み合わせたなりすましウェブサイトに対する実際の防御はほとんど提供されていない。
最近の調査によると、アマゾンやグーグルのような大手プラットフォームでさえ、サードパーティのSMS配信会社を利用している。これらの仲介業者はすでにセキュリティ侵害に関連している。米国のサイバーセキュリティー・インフラセキュリティー局(CISA)ですら、露骨な警告を発している:「セカンドファクターとしてSMSを使わないこと。
パスキーが解決策だと思うかもしれないが、それは小さな前進である。パスキーはログイン認証情報を暗号化してウェブサイトに結びつけ、人的ミスを減らす。しかし、パスキーは安全ではない。パスキーは多くの場合、クラウドアカウントを介して保存・同期される。
もし誰かがあなたのアップルやグーグルのアカウントを乗っ取れば、あなたが保存したすべてのパスキーにアクセスできてしまう。携帯電話が盗まれたり、危険にさらされたりしたら?同じリスクだ。また、マルウェアやユーザーによる強制によって、攻撃者にフルアクセスを許してしまう可能性もある。
では、解決策は何か?コードとクラウド・シンクの幻想を乗り越える時だ。トークン・ リングとトークン・バイオスティックの登場です 。このバイオメトリック・ハードウェア認証システムは、ウィーク・リンクを完全に取り除きます。
これが機能する理由です:
- クラウドなし。
- クラウドなし。
- ユーザーの判断に依存しない
- コード入力なし。
トークンリングとトークンバイオスティックは、あなたの認証情報を改ざん防止されたセキュアエレメント内に保存します。指紋が一致し、物理的に存在し、アクセスを要求するドメインが暗号的に検証された場合にのみ認証されます。
攻撃者がデバイスを盗んだとしても、あなたの指紋がなければ役に立ちません。なぜなら、デバイスはログインするデバイスの近くになければならず、たとえ誰かがそれを突き止めたとしても、暗号ハンドシェイクは自動的に失敗するからだ。
フィッシングはできない。遠隔操作で乗っ取ることもできない。方程式から信頼を排除する。これが、安全なハードウェアで、ショートカットのない、正しく行われたバイオメトリックFIDO2の力である。
結論:MFAが偽のウェブサイトに騙されるようなら、それはすでに時代遅れです。
SMSは死んだ。認証アプリはレガシーだ。パスキーは進歩しているが、欠陥がある。
トークン・ リングとトークン・バイオ スティックがゴールド・スタンダード。フィッシングに強い。耐タンパー性。バイオメトリック・バインド。近接必須。
攻撃者はMFAや認証アプリを狙っています。今日の他のあらゆる方法は?失敗します。
アップグレードの時期です。次の見出しになる前に。
主催・執筆:トークン
Comments