多要素認証はなぜ突破される？理由や事例、適切な認証方法の選び方

• 多要素認証
• 電話認証

2025/07/04

• シェア
• Tweet

多要素認証（MFA）とは、ログイン時に用いる認証方法の一つで、2つ以上の要素を組み合わせて認証するという特徴があります。従来のパスワードのみでの認証と比べて、セキュリティ強化に有効だとされています。ところが、最新のサイバー攻撃の手口によって多要素認証が突破されると懸念されています。複数の要素で認証するにもかかわらず、なぜ突破のリスクがあるのでしょうか。

この記事では、多要素認証が突破される理由や具体的な事例、適切な認証方法の選び方などを解説します。年々増加・高度化する脅威に備えて、多要素認証を効果的に用いて対策を講じましょう。

なお、多要素認証の基礎知識については、以下の関連記事で解説しています。セキュリティ対策の強化へ向けて、本記事と併せてお読みください。

【関連記事】
多要素認証とは？二要素認証・二段階認証との違いやメリット、注意点

• お問い合わせ
• 資料請求

・多要素認証が突破される理由とは

　・フィッシング攻撃

　・MFA疲労攻撃

　・SIMスワップ詐欺

　・認証情報の盗難や漏洩

・多要素認証の突破リスクが注目された事例

　・証券口座の乗っ取り

　・大手クラウドサービスを狙った大規模フィッシング 攻撃

　・SNSの不正ログインによるアカウント乗っ取り

・多要素認証の主な組み合わせと選び方

　・多要素認証の主な組み合わせ

　・多要素認証の選定のポイント

・多要素認証の突破リスクを踏まえて適切なセキュリティ対策を！

多要素認証はセキュリティレベルの高い認証方法ですが、サイバー犯罪者は巧妙な手口で突破口を探しています。まずは、多要素認証が突破される理由を確認してみましょう。

多要素認証の突破を目的として、攻撃者が「リアルタイム型フィッシング攻撃（フィッシング詐欺）」を仕掛ける場合があります。従来のフィッシング攻撃では、攻撃者が偽のログインページを作成し、正規のサイトだと信じ込んだ被害者にIDとパスワードを入力させていました。一方、リアルタイム型ではIDとパスワードに加えて多要素認証の要素である「ワンタイムパスワード」も入力させます。

リアルタイム型の手口では、被害者がIDとパスワードを入力了したタイミングを見計らって、追加でワンタイムパスワード（OTP）の入力を求める表示を行います。一般的にワンタイムパスワードの有効期限は数分間となっていますが、攻撃者がワンタイムパスワードを窃取して即座に不正ログインを試みることで、多要素認証が突破されてしまう可能性があるため注意が必要です。

「MFA疲労攻撃」とは、多要素認証（MFA）の認証リクエストを大量に送りつけることで、プレッシャーを感じた被害者が誤って承認するよう仕向ける手口です。プッシュ通知型の多要素認証の突破を目的として、近年多発しています。攻撃者は事前に被害者のID・パスワードを入手した上で、登録電話番号やメールアドレスに大量の認証リクエストを送信します。その際、サービス運営者を装った攻撃者に「通知を止めるために速やかに承認してください」と促された被害者が、誤って承認してしまうケースが少なくありません。このような大量の認証リクエストの送信を防止する対策として、サービス提供会社が認証リクエストの回数制限を設定する方法が挙げられます。

「SIMスワップ詐欺」は、攻撃者が周到な準備で携帯電話会社を騙して、被害者のSIMカードを乗っ取る手口です。攻撃者は、事前に被害者の携帯電話キャリアのID・パスワードを入手した上で、被害者を装って「SIMカードを紛失した」と携帯電話会社に連絡します。携帯電話会社が本人確認を実施する際は、偽装した身分証明書を提示して突破します。こうして騙された携帯電話会社がSIMカードを提供することで、SMS送信された認証コードが攻撃者の端末で受信されてしまうという仕組みです。被害を防止するには、携帯電話キャリアのパスワードを定期的に変更し、セキュリティを強化する必要があります。

このほかにも、既存のサイバー攻撃の手口による認証情報の盗難・漏洩にも注意が必要です。例えば、感染したデバイスから情報を盗み取る「インフォスティーラー」、キーボードの入力情報を盗み取る「キーロガー」、デバイスに不正に侵入・監視する「スパイウェア」などの情報窃取型マルウェアが挙げられます。また、「ソーシャルエンジニアリング」の手口では、攻撃者がサポートセンターを装って「パスワードの有効期限が切れました」と電話やメールで連絡して、騙された被害者から直接パスワードを聞き出します。

国内外では、サイバー攻撃による多要素認証の突破が懸念されています。ここでは、近年見られたサイバー攻撃の具体例をご紹介します。

国内の証券会社が提供するオンラインサービスにおいて、フィッシング攻撃により顧客の証券口座が不正に操作され、株の売買が行われる被害が多発しました。その後、対策として多要素認証の導入を必須化した企業もあるものの、突破のリスクを完全に避けるのは難しいとして、証券口座のセキュリティ強化が業界内で大きな課題となっています。

海外では、大手クラウドサービスを標的とした大規模なフィッシング攻撃が発生し、多くのサービス導入企業が危険に晒されました。クラウドサービスに不正ログインされると、個人情報の漏洩やデータ改ざんのおそれがあります。万が一リアルタイム型フィッシング攻撃が行われた場合は、たとえ多要素認証を導入していても突破のリスクがあると指摘されています。

国内外では企業が運営するSNSアカウントが乗っ取られ、詐欺メッセージの送信に悪用される事態が相次いでいます。SNSのサービスによっては、サービス提供会社のポリシー変更にともない、多要素認証が無効化されるケースも見受けられます。ユーザー側が設定を見落とすことで、基本的なセキュリティ対策が不足してしまうおそれがあるでしょう。

最後に、多要素認証の組み合わせの具体例や、企業が認証サービスを導入する際の選び方を解説します。導入へ向けてぜひ参考にしてみてください。

多要素認証では、「知識情報」「所持情報」「生体情報」のうち複数の要素を組み合わせます。

＊知識情報の例：パスワード、PINなど
＊所持情報の例：スマートフォン、ICカードなど
＊生体情報の例：指紋、顔など

それぞれの要素の組み合わせ方には、以下のようなパターンがあります。

「知識情報＋所持情報」は、利便性の高さから広く普及しているログイン方法です。「知識情報＋生体情報」のパターンでは、ICカードなどの物理的なセキュリティキーを紛失するリスクを抑えられます。「所持情報＋生体情報」はセキュリティレベルがもっとも高い反面、導入・運用の負荷が高くなります。

多要素認証を導入する際、重視すべきなのはセキュリティ要件です。特に、重要なデータを扱う金融業界・医療業界や政府機関への導入では、「知識情報＋生体情報」や「所持情報＋生体情報」などのより強固な認証方法が推奨されます。ただし生体認証やICカード認証は初期導入コストや運用負荷が高くなる傾向にあるため、求めるセキュリティレベルとのバランスを考慮すると良いでしょう。場合によっては、利用者である従業員やユーザーの利便性を考慮し、「知識情報＋所持情報」のような手軽な方式を採用することも一つの手です。

ここまで、多要素認証が突破される理由、具体的な事例、適切な認証方法の選び方などを解説しました。

電話放送局では、電話による本人認証でなりすましを防止する「電話認証」のサービスをご提供しています。電話番号の所有によって認証する仕組みのため、従来のパスワードのみの認証よりもセキュリティを高められます。多要素認証では、組み合わせ方のパターンによって求めるセキュリティレベルと運用負荷のバランスを取ることが可能です。例えば「SMS認証が使えない高齢者にも提供したい」「初期投資を抑えたい」「低コストで長期的に運用したい」といった場面では電話認証をおすすめします。セキュリティ対策の強化へ向けて、ぜひご検討ください。

ボイスボット

• シェア
• Tweet