多要素認証(MFA:Multi Factor Authentication)とは、Webサービス等を利用する際の本人確認のために使用する認証情報を複数組み合わせて行う認証のことをいいます。
多要素認証に使用される認証情報は、知識情報(本人しか知らないこと)、所持情報(本人しか持っていない物)、生体情報(本人の身体的特徴)の3要素に分類されます。これら3要素のうち、異なる2つ以上の要素を組み合わせることで第三者による不正利用の防止を図っています。
しかし近年では、多要素認証の仕組みを逆手に取り、攻撃に悪用する事例も発生しています。そのため、多要素認証を導入しても過信せず、状況に応じて対抗策を講じていく必要があります。 例えば以下のような攻撃手法があります。
- 多要素認証疲労攻撃:攻撃者が不正に入手した利用者のIDとパスワードで何度も認証を試みることで多要素認証として設定したプッシュ通知を乱発させ、利用者に誤って承認させることで認証の突破を企図する
- Pass-the-cookie攻撃:フィッシングサイトによる中間者攻撃等によって、利用者の認証済みのセッションクッキーを入手し、認証をバイパスする
