IT管理術

Microsoft Authenticatorパスワード管理はフィッシング対策になるのか?実証動画

2021年4月25日

Microsoftの認証アプリ「Microsoft Authenticator」パスワード管理機能は、実際のフィッシングサイトに遭遇した場合、どのような動作となるのか?検証してみました。

パスワード管理アプリ&フィッシングに関してはコチラをCHECK

パスワード管理アプリ別フィッシング対策の比較まとめ

続きを見る

Microsoft Authenticatorパスワード管理機能についてはコチラ

Microsoft Authenticator(MS Auth)パスワード管理の使い方をIT管理プロが解説

続きを見る

※表記について

Microsoft Authenticatorという名称は長いので、以下「MS Auth」と記します。

MS Authのフィッシングサイトで期待する結果

MS Authパスワード管理機能が、フィッシングサイトに反応せずパスワード検出しないことです。

今回検証するフィッシングの手口

Amazonを語るスミッシングで検証しました。

「スミッシング」とは?

SMS(ショートメール)を悪用したフィッシング詐欺の手口のこと。

画像みて頂くとお分かりかと存じますが、「http://amazon.co.jp~」アドレス表記から、”AmazonのログインURLとして正しい”と、誤って認識してしまうほど巧拙です。

しかもAmazonの本物のSMS、「セキュリティコード」と同じメッセージ内に表示されます。

筆者も「おや?本物??」と思ってしまいました。

フィッシングサイトの検証手順|MS Auth編

検証で使用したデバイスはiPhoneです。

簡単な流れ

  • SMSのURLをタップ
  • Amazonのフィッシングサイトが表示
  • パスワード管理アプリを呼び出す
  • 登録済みAmazonパスワード情報を検出してしまわないか?

結論:MS Authは「フィッシングサイトでパスワード検出しない」

MS Authはフィッシングサイトに対し、登録済みパスワード情報を検出しませんでした。

その実証動画です。

MS Authフィッシングサイト検証まとめ

パスワード管理アプリ - フィッシング回避の流れ

  • SMSのURLをクリックしてしまう
  • フィッシングサイトのログイン画面が表示される
  • パスワード管理アプリは登録URLと一致しないのでスルー
  • 異変に気づきフィッシングサイトを閉じる

MS Authのパスワード管理機能は、フィッシングサイトを回避できる結果でした。

ただし過信は禁物です。

パスワード管理アプリはあくまでフィッシング対策であり、完全にフィッシング被害を防ぐことを保証する機能ではありません。

フィッシング詐欺の手口を知っている前提があれば、パスワード管理アプリをよりセキュア&便利に使うことができます。

  • この記事を書いた人

どうなの

ITとITをつなぐ【ICTライフサイクル管理】15年のプロ。 企業5社を渡り歩いた知見からの『ICTでお悩み解決、生活品質&生産性アップ』なノウハウを情報発信しています。

-IT管理術
-