正規のユーザーになりすました不正アクセスが後を絶たない。攻撃者はフィッシング詐欺などでユーザーのIDとパスワードを盗み、それを使ってクラウドサービスや企業ネットワークなどにログインする。 このような不正アクセスを防ぐのに有効な対策の1つが「多要素認証」だ。多要素認証とは、ユーザーの認証時に複数の情報(認証要素)を使う方法である。 例えば、パスワードとスマートフォンの認証アプリを使う方法があり、多くの企業がセキュリティー対策の1つとして導入している。この方法では、パスワード(知識情報)を知っていて、なおかつあらかじめ登録されたスマホ(所持情報)を持っていないとログインできない。パスワードだけの場合と比べてセキュリティーレベルは飛躍的に向上する。 だが万全ではない。上記のような多要素認証を破る手口が数年前から確認されており、現在も使われている。「プロンプト爆撃(prompt bombing)」
![多要素認証を破る「プロンプト爆撃」の罠、ユーザーの寝込みを襲う恐怖の手口](https://cdn-ak-scissors.b.st-hatena.com/image/square/da059ac809ae1744ca27e275917f481f367bb673/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fcolumn%2F18%2F00676%2F042600105%2Ftopm.jpg%3F20220512)