日経NETWORKの2022年7月号が届いた。
個人的に面白かったところを軽くお伝えする。
プロンプト爆撃
プロンプト爆撃の「爆発」という言葉に興味を惹かれて読んでみると、今ではお馴染みに
なっているであろう、多要素認証に関するものであった。
多要素認証とは、不正アクセスを防ぐ為の対策の1つである。
これまではIDとパスワードというユーザーだけが知っていた「知識情報」で認証を行って
いたが、それでは「知識」が漏洩すれば不正アクセスが出来てしまう。
そこで、「知識情報」以外にも「所有情報」や「生体情報」と組み合わせて認証する
ことにしたのだ。
「所有情報」はスマホやタブレットの認証アプリ、「生体情報」は指紋や静脈などが
当てはまる。
例として、「知識情報」と「所有情報」を組み合わせた場合だと
IDとパスワードを入力すると、ユーザーが持っているスマホに認証の承認を求める
プッシュ通知が飛んでくる。これを承認して初めてアクセスが出来るようになる。
多要素認証により、従来と比べてセキュリティーレベルは大きく向上する。
しかし、それを破る手段も出現し続けている。
その1つが「プロンプト爆撃」である。
プロンプト爆発がターゲットにしているのは、上の例でも記載したスマホへのプッシュ通知
である。プッシュ通知の利点は利便性にある。
スマホに通知が表示され、それをタップして承認するだけ。手軽だ。
これならばユーザーとしてもそこまでの負担にならない。この利便性が導入が進む理由の
1つかもしれない。
だが、利便性というのはいつの時代でも狙われる要因になる。
手法はこうだ。
攻撃者は事前に何等かの方法でIDとパスワードの情報を盗み出しておく。
そして、ユーザーが油断しているタイミングでログインを試みるのだ。
油断しているタイミングとして考えられるのは
-
就寝後
ログインを繰り返し実行することで、ユーザーのスマホに山のようにプッシュ通知が
送られる。(ここが爆撃の理由らしい)
多くの場合、プッシュ通知が表示される時には着信音の設定がされているので、山のように
鳴り出してはとても眠れない。
寝ぼけたユーザーは通知の意味を理解しないまま、タップしてしまい不正なアクセスを許して
しまうことになる。 -
日中
ユーザーが利用している時間帯であれば、通知が飛んできても認証のタイムアウトで再度
飛んできたのか、くらいにしか思わないだろう。そのまま深く考えずにタップして不正な
アクセスを許してしまう。
仮にこうした不正アクセスを許してしまった場合は、管理者に連絡すること、パスワードを
変更すること、など他のセキュリティ問題と同じような対処が必要になる。
日経NETWORK 2022.07
まとめ
プロンプト爆撃という手法についてまとめた。
この記事が面白いと思ったのは、いくらセキュリティ認証の方法を複雑、高度にしたとしても
結局、最後は人間のセキュリティに対する意識や危機感が大事になるということを改めて知る
ことが出来たからだ。
そして、危機感が大事というのは何もセキュリティに限った話ではない。
仕事をしていく上では自分の行いがどのような影響を与えてしまうのか、そのリスクを考慮
した上で判断しなければならない。
(先日、判断ミスで色々と叩かれた私が言うのだから間違いない)
この記事を読んでくれた方も、改めて危機感をもって仕事に取り組んで頂きたい。