多要素認証(MFA)は破られる？高度なフィッシング攻撃を防ぐ「FIDO認証」とは

テレワークの普及やクラウドサービスの利用拡大に伴い、多くの企業がセキュリティ対策として「多要素認証（MFA）」を導入しています。IDとパスワードに加え、スマートフォンに届くSMSコードや認証アプリのワンタイムパスワードを入力する運用は、今や一般的な光景となりました。

「うちはMFAを入れているから大丈夫」。そう安心されているセキュリティ担当者様も多いのではないでしょうか。

しかし残念ながら、従来のMFAは、巧妙化する現代のサイバー攻撃の前では無力化されつつあります。 特に、正規のサイトを装って情報を盗み出す「フィッシング攻撃」の手口は高度化しており、MFAを突破する事例が後を絶ちません。

本記事では、なぜ従来の多要素認証が破られてしまうのか、その巧妙な手口と、フィッシング攻撃を構造的に無効化する唯一の認証規格「FIDO認証」の威力について解説します。

多要素認証（MFA）を突破する「高度なフィッシング攻撃」の脅威

これまでのMFAは、「ID/パスワードが盗まれても、もう一つの要素（所有物であるスマホなど）がなければログインできない」という前提で安全性を担保してきました。しかし、攻撃者はこの前提を覆す手法を確立しています。

SMS認証や認証アプリ（Google Authenticatorなど）を使ったワンタイムパスワード（OTP）には、構造的な弱点があります。それは、「最終的に人間がコードを見て、手動で入力する」という点です。

攻撃者の狙いは、まさにこの「人間の行動」にあります。もしユーザーが、本物そっくりに作られた偽のログイン画面（フィッシングサイト）に誘導されてしまったらどうなるでしょうか。ユーザーは疑いなくIDとパスワードを入力し、続けてスマホに届いた認証コードも入力してしまうでしょう。

ユーザー自身が自らの手で、攻撃者にすべての認証情報を渡してしまう。これが従来のMFAが抱える最大の脆弱性です。

フィッシング攻撃を無効化する「FIDO認証」の威力

では、どのようにしてこの脅威に対抗すればよいのでしょうか。その決定打となるのが、グローバルな標準規格である「FIDO（Fast Identity Online）」です。

そもそも「FIDO認証」とは？

FIDOは、パスワードの代わりに指紋認証や顔認証などの生体認証やPINコードを使って安全にログインする、国際標準規格です。秘密鍵は端末内に保存され、インターネット上での流出リスクが低く、サーバーにも公開鍵しか保存しないため、フィッシング詐欺やパスワード漏洩に強いのが特徴です。

主に、専用のUSBデバイス（セキュリティキー）や、PC・スマホに内蔵された生体認証機能（Touch ID, Windows Helloなど）を利用します。FIDOの仕組みは「公開鍵暗号方式」に基づいています。認証のたびに、デバイス内で「秘密鍵」を使ってデジタル署名を作成し、サーバー側の「公開鍵」でそれを検証します。秘密鍵はデバイスの外に絶対に出ないため、ネットワーク上で盗まれる心配がありません。

なぜFIDOはフィッシングに絶対に強いのか？

FIDO認証がフィッシング対策として最強とされる理由は、「オリジンバインディング（ドメインの検証）」という機能にあります。

これは、認証プロセスにおいて、ブラウザやOSが「今アクセスしているサイトのドメイン（URLのオリジン）」が正しいかどうかを厳密にチェックする仕組みです。

正規サイトの場合

ドメインが一致するため、認証デバイス（セキュリティキーなど）が反応し、ログインが成功します。

フィッシングサイトの場合

見た目はそっくりでも、ドメイン（例：https://www.google.com/search?q=g00gle.com など）が正規のものと異なります。ブラウザがこの不一致を検知すると、FIDO認証のプロセス自体を開始しません。

つまり、ユーザーがどんなに騙されて偽サイトにアクセスしても、FIDOデバイスを使っている限り、認証情報が攻撃者に渡ることは構造的にあり得ないのです。これが、FIDOが「フィッシング耐性を持つ」と言われる所以です。

 【比較表で解説】従来のMFA vs FIDO認証

従来のMFAとFIDO認証の違いを整理します。コストや導入のしやすさも重要ですが、守るべき資産の重要度を考えたとき、セキュリティ強度の差は歴然としています。

飛天ジャパンが提案する、最強のフィッシング対策

高度化するサイバー攻撃から企業の重要データを守るためには、認証基盤の強化が急務です。「人間が気をつける」対策には限界があります。システム側で攻撃を無効化するアプローチが必要です。

導入が容易で堅牢な「FIDOセキュリティキー」

飛天ジャパンでは、フィッシング対策の最適解として、FIDO認定済みのハードウェアセキュリティキー「ePass FIDO」「BioPass FIDO」を提供しています。

世界標準の信頼性

Google, Microsoft (Azure AD), AWS, Salesforceなど、主要なクラウドサービスで標準的に採用されているFIDO規格に完全対応しています。

多様な利用シーンに対応

USB-A/USB-Cコネクタに加え、NFC（近距離無線通信）対応モデルもラインナップ。PCはもちろん、スマートフォンやタブレットでの認証にもスムーズに対応します。

パスワードレスの実現

FIDOを利用すれば、IDとセキュリティキーのタッチだけでログインが完了する「パスワードレス認証」も実現可能です。セキュリティ向上と同時に、従業員の利便性も劇的に改善します。

詳しくはこちら

当社は、国内の金融機関や重要インフラ事業者様をはじめ、数多くの企業様への導入実績がございます。導入前の検証から運用サポートまで、日本企業のニーズに合わせたきめ細やかな対応が可能です。

まとめ

従来のSMSやアプリによる多要素認証（MFA）は、もはや万全なセキュリティ対策とは言えません。高度なフィッシング攻撃は、人間の隙を突き、いとも簡単にMFAを突破してきます。

この脅威に対抗できる唯一の手段が、ドメイン検証によって偽サイトへの認証を構造的に防ぐ「FIDO認証」です。

企業の信頼と資産を守るために、認証方式の抜本的な見直しを検討しませんか？飛天ジャパンが、貴社の環境に最適なFIDOセキュリティキー導入をサポートいたします。