MITMフィッシングによる2要素認証の回避MITMフィッシングによる2要素認証の回避 Nov 9, 2020 国内のオンラインサービスになりすまして正規の2要素認証を回避するフィッシングサイトが確認されている¹。このようなフィッシングサイトは被害者と正規サイトの間に介入し、被害者によって入力された認証情報やワンタイムパスワード(OTP)を即時に正規サイトへ入力することで認証を回避する。MITM(Man-in-the-middle)フィッシングと呼ばれるこの手法を理解するため、フィッシングフレームワーク「Evilginx2」を使用して2要素認証の回避を検証した。 MITMフィッシングの仕組み OTPによる2要素認証はパスワード認証の補強手段として活用されているが、パスワードと同様にOTPも被害者によってフィッシングサイトに入力されてしまえば攻撃者の手に渡る。つまり、攻撃者は被害者と正規サイトの間に介入し、被害者になりすまして正規の認
