Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

SMS-OTPは交代の時期が近づいている

マイクロソフトは多要素認証(MFA)の認証の中で、SMS(OTP)と電話ボイスメッセージの使用を停止した方が良いと注意喚起し始めています。

hotforsecurity.bitdefender.com

MFAを有効にしても、アカウントがハッキングされないという保証はありません。これは、SMSメッセージで配信されることが多い電話ベースのMFAを使用している場合に特に当てはまります

私たちが前に説明したように多数の機会、ハッカーが正常にSIMスワッピング詐欺オフ引っ張ってきました。

成功した場合、SIMスワップ(「ポートアウト」詐欺とも呼ばれます)は、犯罪者があなたの電話番号を制御できるようになり、あなたにかけられたすべての通話とSMSテキストメッセージを受信することを意味します。

つまり、SMSまたはボイスメッセージを使用してMFAコードを配信している場合は、代わりに潜在的ハッカーに直接渡されます。

そのため、マイクロソフトのIDセキュリティ担当ディレクターであるAlex Weinertは、今週、MFAでの電話ボイスメッセージとSMSテキストメッセージの使用を停止するようユーザーに促しました。

(HOT FOR SECURITY記事より引用)※機械翻訳

 

キタきつねの所感

日本でも多くのサイトが多要素認証(MFA)の1つとしてSMSを使ったOTP(ワンタイムパスワード)を使っています。このSMS-OTPや音声を使った認証コード配信は、携帯電話番号に紐づくものであって、携帯電話(SIM)が乗っ取られた際には、多要素認証が破られてしまい、大きな(金銭的)被害を受ける可能性があります。

 

マイクロソフトのAzure Active Directory IdentityブログにUPされた記事には、海外で未だに攻撃が多いSMSスワッピング攻撃を念頭に、別な多要素認証手段への移行を促しています。

techcommunity.microsoft.com

 

この脆弱性については以前から指摘されています。例えばNIST SP800-63-Bでは、明確には書かれていませんが、将来SMS-OTPが多要素認証から外れる(非推奨となる)可能性がある事を記載しています。

5.1.3.3公衆交換電話網を使用した認証
帯域外検証のためのPSTNの使用は、このセクションおよびセクション5.2.10で説明されているように制限されています。PSTNを使用して帯域外検証を行う場合、検証者は、使用されている事前登録された電話番号が特定の物理デバイスに関連付けられていることを検証する必要があります。事前登録された電話番号の変更は、新しいオーセンティケーターの拘束力と見なされ、セクション6.1.2で説明されているようにのみ発生するものとします。

検証者は、PSTNを使用して帯域外認証シークレットを配信する前に、デバイススワップ、SIM変更、番号ポーティング、またはその他の異常な動作などのリスク指標を考慮する必要があります

注:セクション5.2.10のオーセンティケーターの制限と一致して、NISTは、脅威の状況の変化とPSTNの技術的操作に基づいて、PSTNの制限付きステータスを時間の経過とともに調整する場合があります

(SP800-63-B:Openid Foundation翻訳内容より引用)

 

海外では携帯電話会社の従業員を買収、あるいは騙して、被害者のSIMカード情報を攻撃者のSIMカードに移し替え(SIMスワイピング攻撃)、被害者の電話番号(SMS-OTP)を使って、電子メール、クラウド、銀行口座、仮想通貨口座といったオンラインアカウントを乗っ取る攻撃が多数発生しています。

coinpost.jp

pc.watch.impress.co.jp

 

日本の携帯電話会社では(公には)聞いた事が無いのですが、携帯電話会社の管理(あるいは従業員教育)が甘い所があれば、同様な攻撃は日本で発生してもおかしくありません。

海外では以前からある攻撃手法なので、格安SIMを含む日本の携帯電話会社でも流石に対策はしていると思いますが、内部犯行(買収)以外にも、本人を装ってコールセンターに電話してSIMを交換させる手法(ソーシャルエンジニアリングもあるので、携帯電話の紛失・盗難時のSIM再発行運用が、コロナ禍の臨時対応でリモート対応の運用になっていて、本人認証が簡易的であると同様な攻撃が成立してしまう可能性も考えられます。

 

今回マイクロソフトがSMS-OTPからの移行を勧めているのは、SMS-OTP(音声)以外にも生体認証(FIDO)や、Windows Hello(FIDO)、マイクロソフトAuthenticator、GoogleAuthenticator等、多要素認証の選択肢が増えてきた事もある様です。

 

日本では事故事例があまり無い(=携帯電話会社のセキュリティ対策が海外よりしっかりしている)ので、海外よりはSMS-OTPは延命する可能性が高いかと思いますが、潜在的脆弱性はある事、そして海外が先にSMS-OTPから移行し始めていく事を考えると、日本のサービス事業者も、ソフトウェアベースのOTP生成ソフト(Google Authenticator、Microsoft Authenticator等)や、生体認証(FIDO)への移行を考えておいた方が良いのかと思います。

 

今年のFIDOセミナー12/1、12/4のオンライン開催となる様です。(無料)

登録すると12/9~1か月オンデマンドで視聴可能の様ですので、お時間が無い方でも登録だけはしておいた方が良いかも知れません。

※例年1日(午後)開催ですが、今年は発表が例年の倍になっているので、多くの実装例が聴けるのではないかと思います。

fidoalliance.org

 

 

参考:

foxsecurity.hatenablog.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

二段階認証のイラスト

 

更新履歴

  • 2020年11月16日 AM