コラム
無印・東芝で起きた「偽の認証画面」――なぜ自社サイトの管理を頑張っても防げないのか
無印・東芝で発生した偽認証画面の原因polyfill.ioを解説。供給網汚染は自社のパスワード管理では防げない理由と、電話発信認証を正規サイトの目印にする発想を紹介します。
お知らせ一覧
MFAを入れていても乗っ取られる?Microsoftが警告した「AIフィッシング」の新手口と、...
「多要素認証(MFA)を導入しているから安全」―そう考えている方は多いのではないでしょうか。しかし2026年4月、Microsoftが公開したレポートは、その安心感を根本から揺るがす内容でした。報告されたのは、AIを活用した大規模なフィッシング攻撃の実態です。この攻撃の厄介なところは、MFAのパスワードを「盗む」のではなく、認証の仕組みそのものを「すり抜ける」設計になっていること。しかも攻撃ツールが「サービス」として流通しており、高度な技術を持たない攻撃者でも実行できる状況が生まれています。Microsoftによると、この攻撃は2025年2月に確認された類似のキャンペーンからさらに進化しており、手動スクリプトに依存していた従来型と異なり、AIを活用したエンドツーエンドの自動化が実現されています。攻撃の成功率とスケールにおいて「重大なエスカレーション」と位置づけられました。この記事では、何が起きているのかをできるだけ平易に整理し、企業として何を見直すべきかを考えます。 1. いま何が起きているのか―「本人が正規の画面で認証してしまう」攻撃 MFAをすり抜ける仕組み 今回の攻撃で悪用されたのは、「デバイスコード認証」と呼ばれる正規のログイン方式です。これはスマートTVやプリンタなど、キーボードのないデバイスからログインするために用意された仕組みで、画面に表示されたコードを別のPCやスマホで入力して認証を完了します。 ポイントは、「コードを発行した側」と「コードを入力する側」が別のデバイスであることです。攻撃者はこの構造を悪用し、自分が発行したコードを、フィッシングメール経由で被害者に入力させます。 被害者はMicrosoftの正規のログイン画面でコードを入力し、いつも通りMFAの認証も完了します。URLも本物、画面も本物。しかしその裏で、認証の「成果」―つまりアカウントへのアクセス権―は攻撃者の手に渡っている。パスワードは一切盗まれていないのに、アカウントが乗っ取られるのです。 たとえるなら、「鍵を盗む」のではなく「本人に鍵を開けさせて、そのまま入る」ようなもの。鍵の複雑さ(MFAの強度)をいくら上げても、本人が正規の手順で開けてしまう以上、防ぎようがありません。 「怪しいURLに注意しましょう」という従来のセキュリティ教育が、この攻撃にはほぼ通用しないという点が、特に深刻です。 AIで「あなた専用」のフィッシングメールが届く 従来のフィッシングメールは、「パスワードの有効期限が切れます」のような汎用的な文面が中心でした。しかし今回の攻撃では、AIがターゲットの役職や業務内容に合わせたメールを自動生成しています。経理担当者には請求書、営業担当者には提案依頼、製造部門にはワークフロー通知―日常業務の延長として自然に受け取れる内容が届くため、警戒心が働きにくい設計です。 さらに技術面でも巧妙な工夫がありました。デバイスコードには15分の有効期限がありますが、従来の攻撃ではメール送信前にコードを発行していたため、受信者がメールを開くまでに期限切れになることが多かったのです。今回の攻撃では、被害者がリンクをクリックした瞬間にコードを発行する仕組みに進化しており、この時間制限を実質的に無効化しています。 生成されたコードは被害者のクリップボードに自動コピーされ、正規のMicrosoftログインページに遷移後、ペーストするだけで認証が完了します。攻撃の「使いやすさ」は、もはや正規のWebサービスと変わらない水準です。 加えて、フィッシングページ自体もよく作り込まれています。ドキュメントのプレビュー画面をぼかし表示にして「本人確認」ボタンを配置するパターンや、ブラウザの中に偽のブラウザ画面を表示してMicrosoftのログイン画面を再現するパターンが確認されています。電子署名や音声メール通知など複数のテーマが使い分けられており、「このパターンに注意」と一律に伝えること自体が難しい状況です。 攻撃が「サービス化」している現実 今回のキャンペーンでは「EvilToken」と呼ばれる攻撃ツールキットの関与が確認されています。これはPhaaS(フィッシング・アズ・ア・サービス)―フィッシング攻撃のインフラをサービスとして提供するビジネスモデルです。 攻撃の裏側では、Railway.comやCloudflare、AWSといった正規のクラウドサービス上に攻撃基盤が構築されていました。一般企業が業務で使うのと同じプラットフォーム上で攻撃が動いているため、「怪しい通信先をブロックする」というアプローチでは、正規の業務通信まで止めてしまうリスクがあります。 いまやサイバー攻撃もクラウド上で自動運用される時代。防御側が年に1回のセキュリティ監査で対抗しようとするのは、馬車で新幹線を追いかけるようなものかもしれません。 2. 「MFAを入れているから安全」はもう通用しない MFAは万能ではない――残り10%の脅威 誤解のないように補足すると、MFA自体は依然として有効な防御策です。米国の安全保障当局によれば、MFAはサイバー攻撃の約90%を防いでいるとされています。 問題は残りの10%です。MFAの普及が進んだことで、攻撃者の関心は「MFAで守られていないアカウント」から「MFAをすり抜ける方法の開発」へと移っています。Microsoftによれば、同社が過去1年間でブロックしたパスワード攻撃は毎秒7,000件、前年比75%増。MFAの壁に阻まれた攻撃者が、より高度な迂回策に投資するのは必然的な流れです。 現在確認されているMFAをすり抜ける主な手法は3つあります。正規サイトとの通信に割り込んで認証情報を横取りする「中間者攻撃」、承認リクエストを大量に送りつけてうっかり許可させる「MFA疲労攻撃」、そして今回レポートされた「デバイスコードフィッシング」です。 前の2つがMFAの「運用上の隙」を突くのに対し、デバイスコードフィッシングは認証の仕組みそのものの「設計上の特性」を利用しているため、より根本的な対策が求められます。しかも、これらの手法は単独ではなく組み合わせて使われるのが実態です。今回のキャンペーンでも、メール配信には乗っ取り済みの正規ドメインが使われ、リダイレクトにはクラウドサービスが活用されるなど、複数の攻撃手法が何層にも重ねられていました。 「MFAを入れているか」ではなく、「どんな仕組みのMFAを、どこに適用しているか」が問われる時代に入りました。 乗っ取り後、10分で何が起きるか 今回のレポートで特に深刻なのは、アカウント乗っ取り後の行動の速さです。 Microsoftの観察によると、攻撃者はアクセス権を取得してから最短10分以内に、乗っ取ったアカウントに新しいデバイスを登録して長期的なアクセス手段を確保し、社内の組織図や権限情報を自動スキャンしてCFOや経理担当者など「お金を動かせる人」を特定していました。 最終的には、ターゲットのメールに不正な転送ルールを仕込み、本人に気づかれないまま送金情報や請求書データを抜き取り続けます。しかも攻撃者は大量に乗っ取ったアカウントの全てを攻撃するのではなく、「高価値なターゲット」を選別して集中投資する、まさにビジネス化された攻撃オペレーションを展開しています。...
お知らせ一覧
「パスキーを導入すれば安全」は本当か?―実装の落とし穴と、認証設計のもう一つの視点
パスキー認証はプロトコルとして堅牢ですが、RP(サービス提供者)側の実装ミスにより深刻な脆弱性が生まれ得ます。本記事では9つの実装リスクを整理し、パスキーの「手前」に認証レイヤーを置くことで得られる構造的なリスク低減効果を解説します。パスキー(Passkey)の普及が加速しています。メルカリは2025年5月にパスキー登録者数1,000万人を突破し、FIDOアライアンスのJapan Working Groupには64の組織が参加、国内で50以上のパスキープロバイダーが稼働または計画中という状況です。金融庁も2025年の対話資料でフィッシング対策としてパスキー利用の促進を明記し、日本証券業協会はフィッシング耐性のある多要素認証の必須化を求めるガイドライン改正案を公表しました。「パスキーを導入すれば安全」―そう考える企業が増えるのは自然な流れです。しかし、「導入した」と「安全になった」は同義ではありません。2025年6月、GMO Flatt Securityの技術ブログがパスキー認証のRP(Relying Party)実装に起因する9つの脆弱性パターンを公開しました。本記事では、この指摘を起点に、パスキー時代の認証設計に必要な「もう一つの視点」を整理します。 1. パスキーは万能ではない―実装が生む9つの脆弱性 パスキー普及の加速と「導入=安全」という誤解 パスキーの勢いは数字が示しています。FIDOアライアンスの2024年調査によれば、パスキーの世界的な認知度は2022年の39%から57%へと50%増加しました。認知している人の62%が実際にパスキーを利用しており、世界の上位100サイトの20%がすでにパスキーに対応しています。日本国内でも、証券口座の不正アクセス事件を受けて規制当局が動き、金融庁は「ID・パスワードのみの認証やSMS OTPではもはや不十分」と明言しました。パスキーへの移行は、もはや先進的な取り組みではなく「やらなければならないこと」になりつつあります。この流れ自体は歓迎すべきものです。ただし、ここで見落とされがちな事実があります。パスキーのプロトコル(WebAuthn)がどれだけ堅牢でも、それを「実装する側」にミスがあれば、従来と同じセキュリティリスクが残り続けるという点です。 GMO Flatt Securityが指摘した9つの実装脆弱性 2025年6月、セキュリティ企業GMO Flatt Securityの技術ブログが、W3CのWeb Authentication Level 3仕様を読み解き、RP側の実装で注意すべき9つのセキュリティ観点を公開しました。主な指摘は以下の通りです。署名の検証不備―認証器から返されたデジタル署名の検証が不十分な場合、攻撃者が偽装したアサーション(認証応答)が受け入れられ、不正ログインを許す可能性があります。チャレンジの検証不備―リプレイ攻撃(傍受したアサーションの再利用)を防ぐためのチャレンジ値が正しく検証されていない場合、過去のアサーションを悪用されるリスクが生じます。Credential IDの重複検証不備―登録時にCredential IDの一意性を確認しない場合、攻撃者が被害者の認証情報を自身のアカウントに紐づけ、被害者を攻撃者のアカウントにログインさせるという巧妙な攻撃が成立し得ます。ユーザーの検証不備―アサーションに含まれるuserHandleと、署名検証に使用する公開鍵の紐づけを正しく確認しない場合、なりすましが可能になります。このほか、チャレンジの安全性(エントロピー不足)、オリジンおよびRP ID検証不備、安全でないフォールバック処理、Non Discoverable Credentialのフロー混在、アカウント登録状態の漏洩と、合計9つの観点が整理されています。特に注目すべきは、実際にCVE番号が付与された脆弱性が存在する点です。CVE-2025-26788(CVSS 8.4・HIGH)は、オープンソースのFIDO認証サーバーであるStrongKey FIDO Serverにおいて、Non Discoverable CredentialとPasskeyの認証フローが混在する際の検証不備により、任意のユーザーアカウントを乗っ取れるものでした。...
お知らせ一覧
“パスキーなら安全”は本当か——アコム登録停止で露呈したフィッシング耐性の限界
近年、AIが悪用された高度なフィッシング攻撃の登場により、パスワードやSMS OTPといった従来の認証方式の脆弱性が露呈しています。 こうした背景から、パスキー(生体認証を含むFIDO準拠の認証方式)は、フィッシングに強く安全な代替手段として注目され、金融サービスをはじめ導入が進んでいます。しかし2025年7月末、大手消費者金融のアコムがセキュリティ上の理由から新規の生体認証登録を一時停止すると発表し、その“絶対的な安全神話”に揺らぎが生じています。 本記事では、アコムの発表内容とその背景、そして生体認証の限界を補う具体的な解決策について解説します。 1. アコムが生体認証登録の一時停止を発表 2025年7月31日に緊急告知 アコム株式会社は2025年7月31日付で、公式サイトにて「新たな生体認証登録を一時停止する」との緊急告知を発表しました。同社は、偽のログインページで利用者が情報を入力する被害が確認されたため、被害拡大を防ぐ目的で新規登録を一時停止したと説明しています。 これにより、アプリの初回ログイン時やログイン後に生体認証の新規登録を行おうとするとエラーが表示され、手続きが完了できない状態となっています。すでに登録済みの利用者には影響がないとされるものの、セキュリティへの信頼性に疑問を抱かせる結果となりました。 利用できなくなるサービス一覧と代替手段 今回の一時停止措置は「新規の生体認証登録」のみが対象で、既存ユーザーは従来どおり利用できます。一方で、未登録の利用者は、ローン申込や契約手続きの一部に支障が出るほか、以下の機能が利用できなくなります。 スマホATMでの借入 クレジットカード情報の確認 暗証番号照会 アプリ経由でのApple Pay・Google Pay登録 急ぎで融資を受けたい利用者については、「口座振込による借入」を代替手段として利用できると案内されています。 登録停止はあくまで一時的な措置とされていますが、再開の時期は明らかにされておらず、利用者は当面の間、最新の発表を確認しながら対応する必要があります。 2. なぜ“登録停止”という強硬策に至ったのか 消費者金融を狙うフィッシング詐欺の急増 2024年秋ごろから、消費者金融の利用者を狙ったフィッシング詐欺が急増しています。典型的な手口は、偽のメールやSMSを送付し、あるいは検索広告を経由して偽サイトへ誘導するというものです。 消費者金融には、攻撃者にとって狙いやすい特性がいくつかあります。 スマホからの利用が中心であり、リンクを踏んですぐにログインするケースが多い 急ぎで資金を必要とする利用者が多く、冷静な判断が難しい アプリ内でATM出金や決済、暗証番号照会といった価値の高い機能に直結している 攻撃の流れとしては、偽サイトに誘導された利用者が会員番号やパスワード、暗証番号を入力し、その直後に不正利用や登録フローの乗っ取りが行われるというものです。本物そっくりのドメイン(typoやPunycode)、緊急を装う文言、さらには偽のサポート電話を併用する例も確認されています。 今回のアコムによる登録停止も、こうした背景にある攻撃環境を踏まえた対応であり、特定の企業だけでなく業界全体に及ぶリスクが存在していることを示しています。 生体認証の導入目的と裏目に出たリスク...
お知らせ一覧
多要素認証の必須化、証券会社で加速──急増する不正アクセスとその背景
2025年春、証券業界ではセキュリティ強化の流れが一層加速しています。日本証券業協会の発表により、野村証券や楽天証券を含む大手10社をはじめとした58社が、インターネット取引における「多要素認証(MFA)」の必須化を決定しました。 不正アクセスやフィッシング詐欺の被害が急増する中、オンライン取引全般における本人確認の重要性が改めて注目されています。 本記事では、多要素認証必須化の背景にある最新の被害状況と、証券会社各社が講じている具体的な対策について詳しく見ていきます。 1. 証券会社58社が多要素認証の必須化を決定 背景にあるフィッシング被害の急増 2025年2月から4月16日までの約2カ月半の間に、日本国内の証券会社においてフィッシング詐欺を通じた不正アクセスと不正取引が急増しています。 金融庁の発表によると、不正アクセス件数は3,312件、不正取引件数は1,454件にのぼり、売却金額は約506億円、買付金額は約448億円に達しました。 これらの被害の背景には、証券口座に不正ログインした犯人が保有株式を売却し、その資金で中国株や流動性の低い小型株を大量に購入するという手口が多く確認されていることが挙げられます。 最近では、本物の証券会社のウェブサイトをほぼ完全に模倣した偽サイトが多数出現しており、見た目だけでは判別が難しくなっています。こうしたフィッシングサイトの巧妙化により、従来以上に利用者が誤って情報を入力してしまうリスクが高まっていることも、被害拡大の一因となっています。 ターゲットとなった6社と被害の実態 特に被害が集中したのは、楽天証券、SBI証券、野村証券、SMBC日興証券、マネックス証券、松井証券の6社です。 これらの証券会社はいずれも、インターネット取引に注力している点や、多様な顧客層を抱えている点が共通しており、フィッシング詐欺の標的にされやすい状況にあったと考えられます。 また時代的背景として、近年の投資ブームにより非対面取引を中心とする新規口座開設者が急増していることも影響していると見られます。 新たに投資を始めた層の中には、オンライン取引におけるセキュリティ意識が十分に高くない利用者も多く、こうした状況がフィッシング被害の拡大に拍車をかけたと考えられます。 こうした大規模な不正アクセスの発生は、一般投資家の間に不安感を広げ、金融市場全体への信頼にも影響を及ぼしかねない重大な問題です。 2. 多要素認証必須化に向けた業界全体の対策と具体事例 金融庁が呼びかけるインターネット取引の安全対策 金融庁は、不正アクセスやフィッシング詐欺の被害が相次ぐ中、インターネット取引を行うすべての投資家に向けて、セキュリティ対策の徹底を呼びかけています。 特に重視されているのは、正規のウェブサイトを事前にブックマークしておき、不審なメールやSMSに記載されたリンクを不用意に開かないことです。 加えて、ワンタイムパスワードや生体認証といった複数の認証手段を組み合わせる「多要素認証(MFA)」の活用も推奨されています。これにより、仮にIDやパスワードが漏洩しても、追加認証によって不正ログインを防ぐことが可能になります。 さらに、パスワードの使い回しを避け、定期的に変更するなど、個人レベルで実施できる基本的な対策を講じることでも、被害リスクを大幅に低減できるとしています。 日本証券業協会(日証協)が推進する認証強化施策 日本証券業協会も、加盟する証券会社に対し、セキュリティ強化を目的とした具体的なガイドラインを示しています。その中核となるのが、インターネット取引時の「多要素認証」の導入と必須化です。 2025年4月時点で、すでに58社が多要素認証の導入を決定しており、今後さらに拡大する見込みです。日証協が策定したガイドラインでは、ログイン時や取引時に加えて、出金依頼や登録情報の変更など、複数のフェーズで追加認証を求める仕組みが推奨されています。 こうした取り組みにより、サービスの利便性を保ちつつも、システム全体を網羅的に守るセキュリティ体制の構築が進められています。 楽天証券における多要素認証必須化の取り組み 民間企業における対応事例として注目されるのが、楽天証券の動きです。同社は、ログイン時にメールアドレス宛へ送信される認証コードを使った多要素認証を導入しており、今後はこれを原則としてすべてのユーザーに対して必須化する方針を示しています。 特に、ゴールデンウィーク期間中などを活用して、早期に多要素認証の設定を行うよう利用者に呼びかけており、設定方法についても公式ウェブサイト上で詳しく案内しています。...
お知らせ一覧
GmailのSMS認証が廃止へ|なぜ?フィッシング対策と二要素認証の今後
フォーブスの記事によると、GoogleはGmailのログイン時に利用されていたSMS認証を廃止する方針を発表しました。この変更はセキュリティの強化を目的としたものですが、なぜ今このタイミングで行われるのでしょうか? 本記事では、SMS認証が抱えるリスクやGoogleの方針、そして今後の代替認証手段について詳しく解説します。 1. GmailのSMS認証が廃止される理由 SMS認証の脆弱性(フィッシング詐欺とトラフィックポンピング) Gmailの広報担当者リッチェンドルファー氏と同僚のサムラ氏によれば、GmailのSMS認証廃止の背景には二つのセキュリティリスクがあるといいます。 一つ目はフィッシング詐欺のリスクです。 SMS認証コードは、偽のログインページを使ったフィッシング攻撃によって盗まれるリスクがあります。ユーザーが正規のGoogleサイトだと思い込み認証コードを入力すると、その情報が攻撃者に渡り、不正アクセスの危険性が高まります。その結果、アカウントが乗っ取られたり、個人情報が流出して被害が発生するケースも少なくありません。 二つ目は、トラフィックポンピングの被害拡大です。 これは詐欺業者がGoogleのSMS認証を悪用し、自分たちの管理する番号に大量の認証コードを送信させることで、手数料を不正に得る手口です。 本来SMS認証の実行時にはGoogleから通信キャリアに支払いが発生します。しかし、一部の通信キャリアは詐欺業者と結託し、Googleから受け取る手数料の一部を詐欺業者に還元することで、不正な利益を生み出しています。 こうした構造により、Googleは不要なコスト負担を強いられ、結果的にSMS認証の維持が企業にとって大きな負担となっています。 Googleが進めるセキュリティ強化の方向性 Googleは、SMS認証の廃止を単なる仕様変更ではなく、全体的なセキュリティ強化の一環と位置付けています。 SMS認証はフィッシング攻撃の標的になりやすく、さらにトラフィックポンピングによる不正なコスト負担を招くリスクもあります。そのため、Googleはより安全な認証方法への移行を進めています。 すでに生体認証や二要素認証の強化が進められており、さらなる対策として利便性と安全性を両立した新たな認証手段の導入が検討されています。 2. 代替案としての認証手段 二要素認証アプリ 二要素認証アプリとは、パスワードに加えてもう一つの認証要素を必要とすることで、セキュリティを強化する仕組みです。その代表例が「Google Authenticator」です。このアプリは、ログイン時にワンタイムパスワード(OTP)を生成し、そのコードを入力することで認証を行います。 SMS認証と異なり、フィッシング攻撃でコードを盗まれるリスクが低く、通信キャリアを経由しないためトラフィックポンピングの影響も受けません。 また、インターネット接続が不要なため、より安全な認証手段として多くのサービスで採用されています。 プッシュ通知型認証 Googleプロンプトは、スマートフォンに直接ログイン通知を送信し、ワンタップで認証を完了できる仕組みです。この方式の最大の特徴は、ユーザーが手入力でコードを入力する必要がない点です。 フィッシング攻撃では、偽のサイトでユーザーに認証コードを入力させる手口が一般的ですが、Googleプロンプトではそのような手法が通用しません。 ユーザー自身がログインリクエストを確認して承認するため、不正アクセスのリスクを大幅に減らすことができます。 パスキー 近年、Googleはパスワードレス認証の普及を進めており、その中心的な技術が「パスキー」です。パスキーは、指紋認証や顔認証、PINコードを利用して、従来のパスワード入力を不要にする認証方式です。 端末に直接認証情報を保存するため、外部からの攻撃によってパスワードが流出するリスクを防ぐことができます。さらに、ユーザーは複雑なパスワードを覚える必要がなく、セキュリティと利便性を両立できる点が大きなメリットです。...
お知らせ一覧