ある企業が多要素認証(MFA)を導入しようとしている。セキュリティ担当者は「フィッシング攻撃に対して最も耐性が高い認証方法」を選択することを優先している。最もフィッシング耐性が高い認証方法はどれか。
- A. SMS(テキストメッセージ)でワンタイムパスワードを受け取る方式
- B. FIDO2セキュリティキーまたはWindows Hello for Businessを使用するパスワードレス方式
- C. Microsoft Authenticatorアプリのプッシュ通知で承認する方式
- D. 音声通話で確認コードを受け取る方式
解答と解説を見る
正解: B
FIDO2セキュリティキーとWindows Hello for Businessはフィッシング耐性認証(Phishing-Resistant MFA)の代表例であり、認証情報がオリジンに紐づくため偽サイトに認証情報を送信することが構造的に不可能である。公開鍵暗号方式を使い、クレデンシャルはデバイス外に出ない。選択肢AのSMSは中間者攻撃やSIMスワッピングに脆弱であり、フィッシング耐性は低い。選択肢CのMicrosoft Authenticatorのプッシュ通知はSMSより安全だが、MFA疲弊攻撃(プッシュ爆撃)に対して脆弱な場合があり、FIDO2より耐性が低い。選択肢Dの音声通話も傍受やソーシャルエンジニアリングに脆弱であり、フィッシング耐性は低い。