セキュリティ応用問題
企業の従業員Aが、正規の社内システムに見せかけた偽サイトにアクセスし、IDとパスワードを入力してしまった。このとき、その企業がSMS認証(ワンタイムパスワード)を二要素認証として導入していた場合、攻撃者による不正ログインに対して期待できる効果として最も適切なものはどれか。
A.盗んだIDとパスワードだけでは認証が完了せず、攻撃者のログインを阻止できる可能性が高い← 正解
✓ 正解です。二要素認証では知識情報だけでなく所持情報(SMSコード)も必要なため、パスワード漏洩のみでは不正ログインを防げる可能性が高まります。
B.SMSワンタイムパスワードはフィッシングに対して完全な防御となるため、被害は一切発生しない
✗ リアルタイムフィッシング(中間者攻撃型)では、ワンタイムパスワードを即座に転送される場合もあり、完全な防御とはいえません。
C.二要素認証を導入していると、フィッシングサイト自体の構築が技術的に不可能になる
✗ 二要素認証の導入はフィッシングサイトの構築を物理的に阻止するものではありません。
D.攻撃者はパスワードを入手しているため、二要素認証は意味をなさず、即座にログインされる
✗ 二要素認証は追加の認証要素を要求するため、パスワードだけでは不正ログインを完結できない点に意義があります。