アカウント乗っ取りの実例から確認、物理キーを用いた多要素認証の有効性とは？

　近年、「アカウント乗っ取り」の被害に遭う組織が増えている。この攻撃は、IDプロバイダー（IdP）のログイン資格情報をフィッシングして取得することを目的としている。攻撃者は、不正に取得したアクセス権を用いて、ラテラルムーブメント（横展開）を実行し、企業の従業員情報のみならず、顧客情報も窃取する。

　アカウント乗っ取りを防ぐためには、多要素認証（MFA）が有効となるが、全てのMFAが高レベルのセキュリティを提供するわけではない。「SMSコード」「時間ベースのワンタイムパスワード（OTP）」などの安全性の低いMFAの手法では、高度化したフィッシング攻撃の全てを防ぐことは難しい。そこで必要なのが、FIDO2に準拠した認証方式に対応した手法に切り替えることだ。

　本資料では、FIDO2準拠のセキュリティキーを導入する必要性を解説するとともに、このセキュリティキーで攻撃を阻止した事例を紹介している。攻撃手法から対応方法まで詳細に解説しているので、高度化するフィッシング攻撃への対策としてぜひ参考にしてほしい。