2FAとMFAはしばしば同じ意味で使われますが、必ずしも同じではありません。2FAは、パスワードとセキュリティの質問、またはSMSコードなど、2つの要素を使用してユーザーのログインを認証します。2FAでは、両方の要素として、パスワードとPINなど、ユーザーが知っているものを使用します。

MFAには少なくとも2つの要素が必要であり、それらは独立していなければなりません。つまり、パスワードなどの知識要素と、生体認証ID、あるいはセキュリティキーやワンタイムパスワードなどの安全な認証要素の組み合わせです。一般的に、必要な認証要素が多いほど、アカウントのセキュリティは強化されます。しかし、すべての要素が同じデバイスに存在する場合、そのデバイスがハッキング、紛失、盗難にあった場合にセキュリティが危険にさらされます。

MFAは依然として侵害される可能性がある

アカウントで MFA を有効にすると安全だと感じられますが、一部の MFA 方法はユーザー名やパスワードと同じくらい簡単に侵害される可能性があります。

Ars Technicaの報道によると、特定の情報や所有要素自体がフィッシングの標的となる可能性があります。中間者攻撃と呼ばれる攻撃は、SMSやメールで送信される認証コードや、認証アプリの時間ベースのワンタイムパスワードなどを標的としており、ユーザーが知らないうちにハッカーに渡した情報を通じてアカウントにアクセスすることが可能となります。

攻撃の仕組みは以下のとおりです。悪意のある人物が、ユーザーのアカウント（例えばGoogle）が侵害されたというメッセージを送信し、ログインしてアカウントをロックするためのリンクを添付します。このリンクとユーザーがアクセスしたページは本物に見えますが、実際にはプロキシサーバーに接続されたフィッシングリンクです。サーバーはユーザーが入力した認証情報を本物のGoogleサイトに転送し、そこで正当なMFAリクエストがトリガーされます（アカウントにMFAを設定している場合、これが疑わしいと考える理由はありません）。しかし、フィッシングサイトで認証コードを入力したり、プッシュ通知を承認したりすると、ハッカーにアカウントへのアクセスを許可してしまうことになります。

オンライン フォーラムで入手できるフィッシング サービス ツールキットのおかげで、中間者攻撃の実行がさらに容易になっています。

MFAセキュリティを最大限に高める方法

MFAを最大限に活用するには、SMSコードやプッシュ通知といった認証要素から、フィッシングに対する耐性が高い認証方法への切り替えを検討してください。最適な選択肢は、デバイスのハードウェアに保存されているWebAuthn認証情報（生体認証またはパスキー）またはYubikeyなどの物理セキュリティキーに基づくMFAです。認証は実際のURLとデバイス上またはその近傍でのみ機能するため、中間者攻撃はほぼ不可能です。

MFA の方法を変えるだけでなく、フィッシングの兆候にも注意が必要です。多くのフィッシング詐欺と同様に、MFA 攻撃は、アカウントが侵害されるのではないかというユーザーの感情や不安、そして問題解決への切迫感を狙っています。知らない送信者からのメッセージ内のリンクは絶対にクリックしないでください。また、セキュリティ上の問題と思われるものには、その正当性を確認せずに反応しないでください。

次の記事へスクロールしてください