\r\n\r\n
二要素認証(2FA)は、オンラインアカウントへの不正アクセスを防止する最も効果的な方法です。もっと説得力が必要ですか?マイクロソフトが発表した目を見張るような数字を見てみましょう。
2020年2月、マイクロソフトはRSAカンファレンスで「Breaking Password Dependency: Microsoft's Last Mile Challenge」と題したプレゼンテーションを行った。ユーザーアカウントを保護する方法に興味があるのであれば、プレゼンテーションの全貌は魅力的です。その発想に頭がしびれたとしても、出された統計や数字には驚かされます。
マイクロソフトは、世界人口の約8分の1に相当する10億以上のアクティブなアカウントを毎月追跡し、毎月300億以上のログインイベントを生成しています。企業のO365アカウントにログインするたびに、複数のアプリケーションで複数のログインエントリが生成され、さらにO365を使用する他のアプリケーションでも1回のログインで追加のイベントが生成されることがあります。
この数字が大きいと思われる方は、マイクロソフトが毎日3億件の不正ログインをブロックしていることを思い出してください。繰り返しますが、これは年間でも月間でもなく、1日あたり3億ドルです。
2020年1月、48万件のマイクロソフトアカウント(全マイクロソフトアカウントの0.048%)が攻撃された。これは、攻撃者が公開パスワード(例えば「Spring2020!」)を実行して、この共通パスワードを使ってくれる人がいることを期待したものです。
スプレーは攻撃の一形態に過ぎず、フィラーによるスプレーは何百とある。この情報を永続的に保持するために、攻撃者はダークネットでユーザー名とパスワードを購入し、他のシステムで試用するのです。
そして、攻撃者が偽のウェブサイトにログインするように仕向けて、パスワードを入手するフィッシングがあります。一般的に、オンライン・アカウントが「ハッキング」される代表的な手口は、このようなものです。
1月には、合計で100万を超えるマイクロソフトのアカウントが侵害されました。これは、1日あたり32,000件強の不正アクセスで、毎日3億件の不正ログインが行われていることを考えると、かなり深刻な問題であることがわかります。
しかし、最も重要なのは、これらのアカウントに2ファクタ認証が有効であれば、マイクロソフトアカウントの侵害の99.9%が防げるという数字です。
関連:フィッシングメールを受け取ったら、どうすればいい?
簡単な注意事項として、2要素認証(2FA)では、ユーザー名とパスワードだけでなく、追加の認証方法が必要です。この追加方法は通常、**に送信されるショートメッセージ、またはアプリケーションが生成する6桁のコードによって行われます。この6桁のコードは、アカウントのログイン処理に入力されます。
二要素認証は、多要素認証(MFA)の一種です。MFAには他にも、**デバイスに物理的なUSBトークンを装着する方法や、指紋や目などの生体スキャンを行う方法などがあります。しかし、**に送られるコードが圧倒的に多い。
しかし、多要素認証は広い意味での認証であり、例えば、非常に安全なアカウントでは、2要素ではなく、3要素を必要とする場合があります。
関連:二要素認証とは何ですか、なぜ必要ですか?
ジェット攻撃やクレデンシャル・スタッフィングでは、攻撃者はすでにパスワードを持っており、そのパスワードを使用するアカウントを見つけるだけでよいのです。フィッシングの場合、攻撃者はあなたのパスワードとアカウント名の両方を知っているので、さらに悪いことになります。
1月に侵入されたマイクロソフトのアカウントが多要素認証を有効にしていた場合、単にパスワードを持っているだけでは不十分だったでしょう。また、ハッカーは、MFAコードを取得し、それらのアカウントにログインできるようにするために、被害者の**にアクセスする必要があります。がなければ、攻撃者がこれらのアカウントにアクセスすることはできず、侵入されることもなかったでしょう。
もしあなたが、自分のパスワードは推測不可能で、フィッシング攻撃に巻き込まれることはないと思っているのなら、事実を掘り下げて考えてみましょう。マイクロソフトのチーフアーキテクトであるアレックス・ワイナート氏によると、アカウントの安全性を確保する上で、パスワードは実はそれほど重要ではないとのことです。
これはマイクロソフトのアカウントに限ったことではなく、すべてのオンラインアカウントはMFAを使用しなければ同様に攻撃されやすいのです。Googleによると、MFAは自動化されたボット攻撃(スプレー攻撃、クレデンシャルスタッフィング、および同様の自動化された手法)を100%阻止しています。
Google Researchのチャートの左下を見ると、「セキュリティキー」方式は、自動ボット、フィッシング、標的型攻撃を止めるのに、100%の効果を発揮しています。
では、**上のアプリケーションを使ってMFAコードを生成する「セキュリティキー」方式とはどのようなものなのでしょうか?
SMSコード」のアプローチも非常に有効ですが、MFA用のアプリがないよりは断然マシです。Authyは、無料で使いやすく、強力なのでおすすめです。
関連:SMSの2要素認証は完璧ではないが、それでも使うべき
ほとんどのオンラインアカウントで2FAやその他の種類のMFAを有効にすることができ、アカウントごとに異なる場所に設定を見つけることができます。ただし、一般的には、アカウントの「設定」メニューの「アカウント」または「セキュリティ」にあります
幸い、私たちのガイドは、最も人気のあるWebサイトやアプリケーションのいくつかのMFAを開く方法をカバーしています:。
MFAは、オンラインアカウントを保護するための最も効果的な方法です。特にメールや銀行などの重要なアカウントは、まだの方は早めに開設しておきましょう。