そのログイン、本当にセキュアですか?

611 Views

October 13, 25

#security #passkey

スライド概要

2025/10/13に開催されたtraPavilionのトークセッションで発表したスライドです。

profile-image
スライド一覧

Python3/Go/TypeScript/Raspberry Pi Portfolio : https://seigo2016.com Blog : https://blog.seigo2016.com

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

slide-thumbnail

岡山県精神科医療センターランサムウェア事案に学ぶセキュリティ
サイバー攻撃 セキュリティ
user-img seigo 2.6K
slide-thumbnail

EnigmaPi
python raspberry pi enigma
user-img seigo 2.2K
slide-thumbnail

AWS CDKユーザーがTerraformのAWS Providerを使ってみた話
user-img seigo 824
slide-thumbnail

Image2PDFの制作 (2022/05/18 traP x KLab LT大会 )
python fastapi cloudflare pages
user-img seigo 415
slide-thumbnail

CVE-2023-23397 (2023/05/11 traP x KLab LT大会 )
user-img seigo 207
slide-thumbnail

AIでGoogle検索結果を改善した話
user-img seigo 175
各ページのテキスト
1.

そのログイン、本当にセキュアですか? ~創作を守るセキュリティのはなし~ 東京科学大学 デジタル創作同好会 1

2.

自己紹介 • seigo2016 / 河内誠悟 (かわち せいご) • 東京科学大学 情報理工学院 数理科学系 B4 • 趣味: サイクリング, ドライブ(RX-8) • 10/6-10 Hardening(沖縄) -> 10/11-13 若手の会(軽井沢) -> 10/13 traP10周年イベント: traPavilion(浅草橋) -> 翌日から大学 #Go #TypeScript #Proxmox # Terraform # AWS CDK #GCP #WSL2 東京科学大学デジタル創作同好会 2

3.

Slack・Twitter・Steam・Pixiv・GitHub... 皆さん、今日だけで何回ログインしました? 東京科学大学デジタル創作同好会 3

4.

5.

身近な被害① Steam Steam Guard(2FA)を設定していたのに… • 偽のログインページに入力→ワンタイムコードが盗まれる 東京科学大学デジタル創作同好会 5

6.

身近な被害① Steam Figure 1. A phishing page that uses browser-in-the-browser technology (from Group-IB blog) Source: Group-IB, “Letting off steam,” Group-IB Blog, accessed 2025-10-11, https://www.group-ib.com/blog/steam/ 東京科学大学デジタル創作同好会 6

7.

身近な被害① Steam BiTB攻撃(Browser-in-the-Browser)の手口で、偽のログインページは本 物そっくり(URL部分も偽装) • 攻撃者が即ログイン→情報流出! • 「2FAしてたのに…」という声も 「2FAしてるから安心」はもう神話かも 東京科学大学デジタル創作同好会 7

8.

身近な被害② AiTM攻撃 • 攻撃者がプロキシを設置し、本来のサイトと通信する • ユーザーが見えるのは本物そっくりの偽サイト(JSやCSSも同じ) • 認証情報を中継し、最後に本来のサイトから返ってきたセッションを 窃取 • 結果:2FAを突破してログインされる 東京科学大学デジタル創作同好会 8

9.

身近な被害② AiTM攻撃 最近流行の攻撃フロー ①ログイン ユーザー名・パスワード ②ログイン ユーザー名・パスワード ③MFA認証画面を表示 ④MFA認証画面を表示 ⑤送信 追加の認証情報 ⑥送信 追加の認証情報 ⑦セッション情報を返却 ユーザー フィッシングサイト Webサイト ⑧別ページにリダイレクト 描画要素などのみ返却 ここで認証セッション 情報を窃取 悪意のあるプロキシサーバー 詳しくはあもりますぶろぐ: https://armoris.hatenablog.com/entry/2024/01/23/175959 東京科学大学デジタル創作同好会 9

10.

フィッシング攻撃の進化 2023年頃はEvilginxのような研究的なツールが中心でしたが… 2024年以降は状況が一変! Tycoon / Astaroth / CoGUI などの商用フィッシングキットが登場 • GUIつき・ホスティングつき・解析回避機能つき • PhaaS(Phishing as a Service)でサブスクも • 誰でも実戦レベルの攻撃が可能に 東京科学大学デジタル創作同好会 10

11.

でも(多少)安心してください! 東京科学大学デジタル創作同好会 11

12.

パスキー(Passkey)という希望 デバイスとサイトが鍵ペアを使って認証する新しい仕組み! • FIDO2 / WebAuthn という仕様ベースの認証方式 • 仕組みはシンプル ○ 各サービスごとに鍵ペアを生成 ○ 秘密鍵は端末内に安全に保存、公開鍵はサーバーに登録 ○ ログイン時は端末で署名→サーバーで検証 東京科学大学デジタル創作同好会 12

13.

パスキー(Passkey)という希望 パスキーのここがすごい! • パスキーは登録ドメイン以外では使えない ○ フィッシングサイトやAiTM攻撃からの認証要求は通らない • パスワードを覚えなくていい→漏洩リスクも激減 • Apple/Google/Microsoft/GitHub/PayPal など、どんどん対応中 ○ 金融業界でもパスキーや、FIDOに準拠した生体認証導入の動き が!※ ※パスキーと同じ認証の仕組みを使用していても、パスキーの機能の一部が異なる場合があるので注意 東京科学大学デジタル創作同好会 13

14.

でも注意点も… • 認証器・ブラウザ・拡張機能の実装バグで脆弱性が出る可能性もある ので検証は必須 • 複数デバイス使うなら鍵同期・バックアップ・復元の設計をしっかり • 古いブラウザや非対応環境もあるから、フォールバック認証も考えよ う • 生体認証が本質じゃない! ○ あくまで端末内の秘密鍵にアクセスする手段。PIN・パスコード・ パスフレーズでもOK 銀の弾ではないけど、現在の最善策の1つ! 東京科学大学デジタル創作同好会 14

15.

次善策:パスワードマネージャ+TOTP パスキーに対応してないなら、これ! (例:1Password, Bitwarden, KeePassXC) • 正しいドメインでしか自動入力されない • 手打ちしない=偽サイトで入力しない ただし最近 DOM-based extension clickjacking [1]という攻撃も… →見えないボタンを踏まされる可能性あり だから自動送信じゃなく「ワンクリック確認」で! [1] https://marektoth.com/blog/dom-based-extension-clickjacking 東京科学大学デジタル創作同好会 15

16.

ログイン衛生チェックリスト ☑ パスキー対応サービスではパスキーを使う ☑ パスワードはマネージャで管理 ☑ TOTPはアプリ生成型を使う(SMS認証はNG) ☑ 自動入力は確認操作ありに設定(オートコンプリートは無効化) ☑ ログインURLはブックマーク or 公式アプリ 東京科学大学デジタル創作同好会 16

17.

最後に パスワードを覚えないことが、いちばん安全。 ログインはただの作業じゃなくて、作品やデータを守る大事な一歩! 今日から守るログインを始めましょう! 東京科学大学デジタル創作同好会 17