今回は、「2段階認証・2要素認証でも突破される詐欺の最新の手口!その対処方法とは!」について説明して参ります。
「2段階認証」、中でも「2要素認証」を伴った「2段階認証」は、安全性が高い認証方法と言われています。
今回は、その安全性が高い2要素2段階認証でも、突破をしてくる最新の詐欺の手口とその対処方法について一緒に確認していきましょう。
<動画内容>
<1>「2段階認証」「2要素認証」とは
1.「2段階認証」は2回の認証作業を行う認証方法!
2.「2段階認証」は、何を使って認証を行うかが最も重要(要素)
3.「2要素認証」には3つのパターンで利用される
<2>「2要素2段階認証」を突破する最新の手口とは
1.「2要素2段階認証」を突破する手口(必須条件)
2.「2要素2段階認証」を突破する手口(ワンタイムパスワードの場合)
3.「2要素2段階認証」を突破する手口(パスキーの場合)
4.「2要素2段階認証」で覚えておきたいポイント
5.「2要素2段階認証」を突破する手口(まとめ)
<3>「2要素2段階認証」を突破する詐欺への対処方法
1. 予防策①:「Apple ID」「Googleアカウント」の場合
2. 予防策②:金融機関の場合
詳しくは、下記の動画ご参照ください。(講座動画時間:12分59秒)
みなさんこんにちは、スマホのコンシェルジュです。
今回は、「2段階認証・2要素認証でも突破される詐欺の最新の手口!その対処方法とは!」について説明して参ります。
「2段階認証」、中でも「2要素認証」を伴った「2段階認証」は、安全性が高い認証方法と言われています。
今回は、その安全性が高い2要素2段階認証でも、突破をしてくる最新の詐欺の手口とその対処方法について一緒に確認していきましょう。
スマホのコンシェルジュの「YouTubeチャンネル」では、「スマホの基本操作」から「不具合時の対処方法」「スマホとパソコンの連携」等、スマホやパソコンに関する動画を多数配信しております。
是非そちらもご参照ください。
また、是非「チャンネル登録」もお願い致します。
【目次】
<1>「2段階認証」「2要素認証」とは
1.「2段階認証」は2回の認証作業を行う認証方法!
2.「2段階認証」は、何を使って認証を行うかが最も重要(要素)
3.「2要素認証」には3つのパターンで利用される
<2>「2要素2段階認証」を突破する最新の手口とは
1.「2要素2段階認証」を突破する手口(必須条件)
2.「2要素2段階認証」を突破する手口(ワンタイムパスワードの場合)
3.「2要素2段階認証」を突破する手口(パスキーの場合)
4.「2要素2段階認証」で覚えておきたいポイント
5.「2要素2段階認証」を突破する手口(まとめ)
<3>「2要素2段階認証」を突破する詐欺への対処方法
1.予防策①:「Apple ID」「Googleアカウント」の場合
2.予防策②:金融機関の場合
<1>「2段階認証」「2要素認証」とは
それでは、まず、初めに「2段階認証」「2要素認証」とはどのようなものなのかについて一緒に確認していきましょう。
既にご存じの方は、目次からスキップしてください。
1.「2段階認証」は2回の認証作業を行う認証方法!
「2段階認証」は、一般的には「IDとパスワード」の入力のほかに、「アプリでのログイン可否の選択」や「SMS・メール等に確認コードを送信して、その確認コード」を入力する事」で、本人以外が不正に情報(アカウント)にアクセスすることを防止する認証方法になります。
最近では、「確認コード」の代わりにスマホを利用した「指紋認証」や「顔認証」が代用される場合があります。
「パスワード」と「確認コード」という2回の認証作業を行なうことを「2段階認証」と言います。
安全性を考慮すると、2回の認証を行う事はもちろんですが、何の要素を使って認証を行うかという点も重要になります。
2.「2段階認証」は、何を使って認証を行うかが最も重要(要素)
それでは、次に、「2段階認証」を行う場合の「認証方法(何で認証を行うか)」についても一緒に確認していきましょう。
「2段階認証」は、先程も説明を致しましたが、認証を2回行なう認証方法になります。
「2要素認証」は、2つの異なる要素を使って、認証を行う認証方法になります。
まず初めに、異なる要素とはどのようなものなのかを一緒に確認していきましょう。
「異なる要素」は、主に三つに分類されます。
一つ目は「ピン」「パスワード」による認証で、「知る要素による認証」になります。
「暗証番号(PIN)」や「パスワード」が知る要素に該当し、認証を行なう人が記憶している要素になります。
個人の経験に基づいたものとしては、「合言葉」等も、こちらに該当します。
こちらの「知る要素」については、他の場所でも同じものが使われる傾向が高いため、どこかで情報が流出すると連鎖する危険性があります。
二つ目は、「アプリ」「機器」「SMS」による認証で、「持つ要素による認証」になります。
一般的には、「銀行口座を開設した際に渡されるワンタイムパスワードの機器やソフト」「SMSによる認証」「IDカードによる認証」など、認証を行なう人が所有しているものを使った認証がこちらに該当します。スマホの普及に伴い、スマホが「持つ要素」の中心になってきています。
「持つ要素」の一番の欠点は、「盗まれたり、複製される」と対処する方法がほとんどないという欠点があります。
三つ目は、「指紋」「顔」「網膜」等による認証で、「備える要素による認証」になります。
一般的には、「指紋認証」「顔認証」「網膜認証」など、認証を行なう方の身体的な特徴を利用した認証がこちらの要素に該当します。
こちらの「備える要素」は、「指紋」「虹彩(こうさい)」「声紋」等の生物学的な要素で、生体認証を利用するため、複製されにくい傾向があります。
3.「2要素認証」には3つのパターンで利用される
「2要素認証」は、先程の3つに分類された要素を組み合わせて利用されます。
最も利用されているパターンが、「持つ要素」と「知る要素」の組み合わせになります。
最も利用されている理由としては、「持つ要素」であるスマホには、間接的ではありますが、「備える要素」である「指紋認証」「顔認証」が搭載されています。
その為、「持つ要素」として「スマホ」を利用すると「備える要素」も同時に利用する事になります。
三つ以上の要素を組み合わせた認証方法は、「多要素認証」と呼ばれ、研究所などの機密性の高い施設などで利用されています。
いずれにしても、2つの要素を別々に2回チェックする事を、正式名称として「2要素2段階認証」と言います。
この「2要素」の部分を省略して、「2段階認証」と簡略化して呼ばれる場合が大半になります。
<2>「2要素2段階認証」を突破する最新の手口とは
それでは、次に「2要素2段階認証」を突破する最新の手口とはどのようなものなのかを一緒に確認していきましょう。
1.「2要素2段階認証」を突破する手口(必須条件)
「2要素2段階認証」を突破するには、二つの必須条件があります。
ます、一つ目は、「フィッシング詐欺」の実行犯が、いつでもパソコン等の操作が出来る状態に待機(スタンバイ)している必要があります。
二つ目は、ターゲットに関連する情報を事前に集め、効果的なフィッシングメールやメッセージを送信できる状態にある必要があります。
この必須条件を満たしている状況で、「フィッシングメール」、もしくは、「メッセージ」を詐欺のターゲットに送信します。
2.「2要素2段階認証」を突破する手口(ワンタイムパスワードの場合)
「詐欺のターゲット」が、「フィッシングメール」、もしくは、「メッセージ」を受信し、タップした段階で、「詐欺の実行犯」が「本物のサイト」にアクセスします。
「詐欺のターゲット」が、「偽サイト上」で「ID」「パスワード」を入力してログインした段階で、詐欺の実行犯も「本物のサイト」でその入力された「ID」「パスワード」を利用してログインをします。
「詐欺のターゲット」は、「詐欺の実行犯」が本物のサイトにログインをした事で、送られくる「本物の確認コード」を「偽サイト上」で入力します。
「詐欺の実行犯」も、その入力された「確認コード」を「本物のサイト」に入力する事で、簡単に「2要素2段階認証」を突破して、「本物のサイト」に不正にログインする事ができてしまいます。
このようにして、安全性が高いと言われる「2要素2段階認証」でも、「偽の利用者」が不正にログインする事が出来てしまうという事を覚えておきましょう。
「不正送金」をする場合も、同様で、商品代金の支払い等を装い、一度送金を実施させる事で、送金時に利用する「第2のパスワード」を盗み出します。
3.「2要素2段階認証」を突破する手口(パスキーの場合)
パスワードを利用しない「パスキー」という認証手段を利用している場合も、先程と同様に不正ログインを行う事が出来ます。
ワンタイムパスワードとの大きな違いは、本物のサイト上に表示される番号を、同じタイミングで偽サイト上に表示させる必要があります。
別途、対処が必要になるという点では、「パスキー」の方が「ワンタイムパスワード」より安全性が高いと言えますが、対処が技術的にも難しい訳ではない為、安全性が高いとまでは言えないかもしれません。
4.「2要素2段階認証」で覚えておきたいポイント
繰り返しになりますが、「2要素2段階認証」はあくまで「認証する手段の一つ」になります。
「2要素2段階認証」を利用する事で安全性は上がりますが、「100%の安全性」を保障するものではないという事を覚えておきましょう。
5.「2要素2段階認証」を突破する手口(まとめ)
いずれにしても、「2要素2段階認証」は、同時並行で行われる「ログイン」については、対処が難しいというのが現状になります。
また、複数端末からも利用できる仕様になっている場合、不正ログインの識別が難しいというのが現状になります。
ビジネス版のオンラインバンキングのように「電子証明書」を使うことで、利用可能な端末を制限する事も出来ますが、利便性が著しく減少する上、維持費などの費用が発生する為、個人の銀行アカウントにも導入される可能性は現時点では低いと言えます。
利用者側で、利用できる端末や操作を限定する等の対処が別途必要になります。
<3>「2要素2段階認証」を突破する詐欺への対処方法
それでは、最後に「2要素2段階認証」を突破する詐欺への対処方法について一緒に確認していきましょう。
1. 予防策①:「Apple ID」「Googleアカウント」の場合
まず、初めに「Apple ID」や「Googleアカウント」の場合の対処方法について一緒に確認していきましょう。
最も重要な予防策は、「フィッシングメールやメッセージ」に引っかからない事が一番重要になります。
「ブラウザアプリ」ではなく、該当するアプリから「各アカウント」にログインするようにしましょう。
可能な予防策としては、ログインがあった場合に「ログイン通知」が表示されますが、必ず位置情報を確認するようにしましょう。
位置情報の正確性については、賛否がありますが、ある程度、エリアを絞り込むことは出来ますので、他の国からのアクセスには十分に注意するようにしましょう。
2. 予防策②:金融機関の場合
「金融機関」についても、同様で、最も重要な予防策は、「フィッシングメールやメッセージ」に引っかからない事が一番重要になります。
可能な予防策の一つ目としては、「利用できる端末」「利用できる操作」を制限する方法になります。
「振込」についてはアプリからのみ行い、パソコンからは行わないのも一つの予防策になります。
また、「振込」が必要な場合には、ATMからの振込のみに限定するのも一つの予防策になります。
加えて、「第二のパスワード」が必要な取引は窓口を利用するか、直接預け金を引き出せない「証券口座」を利用するのも一つの選択肢になります。
二つ目は、「振込限度額」を下げる方法になります。
1日に振り込める限度額は、自由に設定する事が出来ますので、振り込みをする最低金額に変更するのも一つの予防策になります。
限度額を変更するとATMを利用して振り込める金額も変わりますので、その点には注意するようにしましょう。
以上で「2段階認証・2要素認証でも突破される詐欺の最新の手口!その対処方法とは!」についての説明を終了致します。
宜しければ「チャンネル登録」をお願い致します。
また、「有料メンバーシップ」にてコンビニで印刷できるテキストの提供も行っております。
ご静聴、ありがとうございました。
「【アカウントの保護】2段階認証と2ファクタ認証の二つが存在するのはなぜ?~スマホを安全・快適につかうのに必要な知識~」もご参照ください。
「【今すぐ確認】マイナンバーカードよりも重要!今すぐ実施したい「Googleアカウントの乗っ取り・不正ログインを防ぐ方法」をご参照ください。
<指導実績>
三越伊勢丹(社員向け)・JTB(大説明会)・東急不動産(グランクレール)・第一生命(お客様向け)・包括支援センター(お客様向け)・ロータリークラブ(お客様向け)・永楽倶楽部(会員様向け)等でセミナー・講義指導を実施。
累計50,000人以上を指導 。
<講義動画作成ポイント>
個別指導・集団講座での指導実績を元に、わかりやすさに重点を置いた動画作成
その他の講義動画は下記の一覧をご参照ください。
<その他>
オンラインサポート(ライブ講座・ZOOM等でのオンライン指導)とオフラインサポート(出張指導・セミナー形式のオフライン指導)も実施中。詳しくはメールにてお問い合わせください。
【全店共通】
03-5324-2664
(受付時間:平日10時~18時)