以前ならアカウントの乗っ取り案件に関して、
「二段階認証にすればまぁ安全!」と見られて
いましたが、どうやらそれも…。
二段階認証はもう役に立たない?
「リアルタイムフィッシング詐欺」とは
「オンラインサービスやネットバンキングなどで
セキュリティ対策として使われている「二段階認証」。
しかし、近年「リアルタイムフィッシング詐欺」と
呼ばれる新たな手口が登場し、従来の二段階認証さえ
突破されるケースが急増しています。
この詐欺は、利用者が本物と信じてしまうほど巧妙に
作られた偽サイトを使い、IDやパスワードだけでなく、
ワンタイムパスワードや認証コードまでもリアルタイム
で盗み取るのが特徴です。
被害者が気付いた時には、不正送金やアカウント
乗っ取りなど深刻な被害がすでに発生している
ケースも珍しくありません。」
「従来のフィッシング詐欺は、主にIDやパスワード
などの情報を盗み、後から不正利用する手口が一般的
でした。
しかし、リアルタイムフィッシング詐欺は、ワンタイム
パスワードなどの認証情報をリアルタイムで取得し、
その場で不正アクセスを実行します。
このため、利用者が対策を講じる前に被害が発生する
スピード感が大きな違いです。」
本物ソックリの偽サイトへ被害者を誘導し、IDと
パスワードを入力させ窃取。窃取したIDと
パスワードを使って、今度は正規サイトへアクセス。
正規サイトが二段階認証で入力を求める
ワンタイムパスワードを記したSMS(ショート
メール)を送ります。
被害者が偽サイトでそのSMSに記されたワンタイム
パスワードを入力すると、それを窃取して正規サイトへ
アクセスするという寸法です。
どこまで悪知恵が働くのでしょうか?
こういう攻撃ですと、SMS等で送られてくるワンタイム
パスワードを入力するタイプの二段階認証では、なんなく
クリアされてしまいますよね。
「たとえば二段階認証における「認証方法そのもの」を
SMSやメールによるコード送信ではない形に切り替える
だけで、認証の強度は上がります。
たとえば端末認証や生体認証、FIDO(パスキー)など
フィッシング耐性の高い認証方式を導入することで、
攻撃者によるリアルタイムの情報搾取を防ぐことが
可能でしょう。
二段階認証そのものの重要性が揺らいでいる
わけではありませんが、二段階認証の「方法」
自体は見直しが必要と言えるかもしれません。
メールによる二段階認証はお手軽ですが、近年の
詐欺被害の大きさを踏まえると役割を終えつつ
あるのかもしれません。」
もしメールやSMSを介した二段階認証以外の
認証方法があれば、そちらに切り替えた方が
これからは無難かもしれません。
我々素人(一般ユーザー)は難しいことは
分かりませんし、できません。
でも以下のことは常日頃から気をつけて
いきたいところです。
「「SMSやメールで届いたリンクからは絶対に
ログインしない」ことが最も重要です。普段
利用している金融機関やサービスの公式
サイトは、必ずブックマークや公式アプリから
アクセスするよう心がけましょう。
また、公式ブランドロゴやハンドルネームの
表示など、正規のメールの特徴を確認するのも
有効です。
さらに、利用明細や利用通知サービスを活用し、
不審な取引がないかを日常的にチェックする
ことも大切です。もしフィッシングサイトに
情報を入力してしまった場合は、速やかに
パスワードや認証情報を変更し、金融機関や
カード会社に連絡して利用停止などの措置を
講じましょう。」
ネットを介した詐欺はどんどん巧妙化して
います。ダマされないよう気をつけていき
ましょう。