2FAとセッション窃取は、守っている段階が違う
2FAが無意味なのではありません。攻撃者がログイン処理を突破せず、ログイン後に発行された認証済み状態を盗むケースを理解します。
2FAが守るもの
新しいログイン時に、パスワードだけでは本人と判断しないための追加確認です。パスワード流出への耐性を高めます。
盗まれたセッションで起きること
攻撃者は新しくログインする代わりに、すでに認証済みの識別情報を再利用します。サービス側で無効化されるまで、セッションが悪用される可能性があります。
必要な対応
- 感染した可能性のある端末をネットワークから切り離す
- 別の信頼できる端末からパスワードを変更する
- すべてのセッションをログアウトし、既存セッションを無効化する
- 2FA、バックアップコード、認証方法を再確認する
表現上の注意
「tokenがあれば必ず何でもできる」とは限りません。サービスの実装、権限、再認証要求、失効処理によって可能な操作は変わります。記事では確認できた範囲を明記してください。