イメージ(写真:Adobe Stock)

インターネットの活用は仕事でも仕事以外でも不可欠になっている。ところがインターネットの活用はフィッシングなどの攻撃を受けるため、セキュリティ対策が必須となっている。こうした対策の一つがアクセスの際に2つ以上の要素を必要とする多要素認証(MFA: Multifactor Authentication)である。ユーザーIDやパスワード、コード入力など、アクセス先からプッシュベースの情報を入力することも、いまや常識となっている。こうした多要素認証を用いることで、セキュリティを確保しているのである。したがって、こうしたMFAを導入していないときには、保険会社は被保険者に対してそれを要求するか、それとも保険金の上乗せを求める。場合によっては、契約を拒否することもありうる。

中間者攻撃AitMの脅威

ところが、ハッカーの悪知恵は、ますます進化していて、こうしたセキュリティを迂回する方法を生み出している。中間者攻撃(AitM: Advisory in the Middle attack)という新しい戦術は、インターネット・サービスを利用する人と、そうしたサービスを提供するウェブサイトやサービス提供者の間で行われる通信を傍受し、改ざんして、セキュリティに関わるデータを盗み出すというものである。

ある調査によれば、ビジネスメールで侵害インシデントを経験した組織のうち、90%はMFAを導入していたという。また、他の調査ではAitMを利用して、8000以上のオフィス365アカウントを複数年にわたって侵害したフィッシング行為も確認されたという。