2019/10/21
システムの穴をつくフィッシング詐欺の手口と対策 『二段階認証』も鉄壁ではない?
インターネットにまつわるさまざまなスマホトラブルや、世間を騒がせているネット詐欺の手口や事例を解説し、セキュリティに関する疑問や対策について答える本連載。第5回は「二段階認証」を突破するフィッシング詐欺の手口についてのお話。
セキュリティを強化する二段階認証
「二段階認証」とはIDやパスワード入力のほかに、セキュリティコードの入力などを追加することで、第三者の不正アクセスを防止する仕組みのこと。現在、主要なサービスで取り入れられており、セキュリティ強化のためには不可欠なシステムといえる。
ところが、最近は巧妙な手口でこの二段階認証を突破するフィッシング詐欺の手口があるのだという。それは一体どのような手法で、我々はどんな対策を取ることができるのか? KDDIで不正利用対策を専門に行う「セキュリティ先生」こと、UX・品質向上推進部の新井 契(ひさし)にTIME & SPACE編集部が話を聞いた。
二段階認証を設定しておけば万全……とは言えない!?
――不正ログインを防ぐために、二段階認証を設定したほうがよいことは、前回の連載記事でお聞きしました。とはいえ、設定したからといって100%安全とは言えないということでしたが……。
先生「「はい、その通りです。おさらいまでに説明すると、二段階認証とはアカウントにログインする際に、IDやパスワードを入力した人が本人であるかを確認するために、登録してある電話番号やメールアドレスを利用して、セキュリティコードの入力などを行うという仕組みです。まずは、二段階認証で不正ログインから守れるケースを説明しましょう。
たとえば、悪意の第三者がどこかから流出したIDとパスワードを入手して、ログインを試す『リスト型攻撃』を行った場合、二段階認証を設定していれば、利用者がログインをした覚えがないのに二段階認証の通知が送られてきますよね」」
――自分がログインしていないのに、いきなり二段階認証の通知が来たら変に思いますよね。
先生「「そうでしょう。この場合、利用者が二段階認証で送られてきたセキュリティコードを入力しなければ、悪意の第三者はコードがわからないためログインは成功しません。このような不正ログインの攻撃には二段階認証は有効です」」
――身に覚えのない二段階認証の通知が届いたときに許可を出さなければ、不正ログインを防げるから、そこを注意すればいいんですよね?
先生「「残念ながら、そうとは限らない場合があります。たとえば自分でログインして二段階認証の通知が届いた場合は?」」
――え? もちろん、セキュリティコードを入力しますよ。だって自分でログインしているんだから。
先生「「ところが、これで二段階認証を突破されて不正ログインされるケースがあるんです」」
――ええっ?
悪意の第三者が本物のサイトにすぐログインすると……?
先生「「こちらは連載第2回で紹介した、au IDの本物そっくりなフィッシング詐欺のログイン画面です」」
――びっくりするほど本物そっくりですが、これは悪意の第三者がつくった偽サイトなんですよね。
先生「「そうです。仮にこのフィッシングサイトにIDやパスワードを入力し、悪意の第三者があなたのIDとパスワードを知って、あとでログインしたとします。その場合、あなたがログインをしたときと違うタイミングで二段階認証の通知が届くので、おかしいと気づくでしょう」」
――そうですね。半日や1日後に二段階認証の通知がきたらおかしいと思います。
先生「「ところが、あなたがフィッシングサイトにIDとパスワードを入力した直後に、悪意の第三者が本物のサイトであなたのIDとパスワードを使ってログインした場合はどうですか? すぐに本物の二段階認証の通知が届きますよね。あなたはフィッシングサイトを本物のサイトだと思ってログインしているので、二段階認証の通知は自分がログインしたから届いたと勘違いして許可してしまう。そうすると、悪意の第三者に二段階認証のセキュリティコードを知られて、不正ログインされてしまうんです」」
――確かにフィッシングサイトで得たログイン情報を、すぐに本物のサイトに入力されると、自分宛に本物の二段階認証の通知がきちゃいますね。時間差がなければ、自分がログインしたから送られてきたものだと思ってしまう……。
先生「「そうなんです。今度は図で見てみましょう」」
二段階認証を突破するフィッシング詐欺の手口
①悪意の第三者が利用者にSMSやメールからフィッシングサイトの偽情報を送る。利用者はそれを本物のサービスからのものだと思ってURLから偽サイトにアクセスし、IDとパスワードを入力する。
②悪意の第三者は入力されたIDやパスワードを知り、本物のサービスサイトのログインページにすかさず入力する(この行為自体が自動化されている場合もありえる)。これは悪意の第三者が裏で本物のサイトにログインしているので、利用者からはわからない。
③悪意の第三者が本物のサイトにログインしたので、本物のサイトから二段階認証のメールやSMSの通知が利用者に送られてくる。
④利用者は二段階認証の通知を元に、悪意の第三者が用意した偽サイトの画面にセキュリティコードを入力してしまう(auの場合は二段階認証を許可画面で許可する)。これにより悪意の第三者にセキュリティコードが伝わり、悪意の第三者が本物のサイトにセキュリティコードを入力する。
⑤悪意の第三者は不正ログインに成功し、他人のアカウントでネットショッピングなどの不正を行う。利用者には本物のサイトのトップ画面や本物に似せたサイトが表示され、あたかもサービスにログインしたかのような状態に勘違いしてしまう。しかし、実際には利用者はログインできていない状態なのだ。
先生「「最後に二段階認証を突破する手口をまとめるとこのようになります。偽サイトと本物のサイトのあいだに悪意の第三者が潜んでいて、利用者のログイン情報を知って、すぐに本物のサイトにログインすることで、本物の二段階認証の通知が届くという仕組みです」」
巧妙な手口をどうやったら防げる?
――これは巧妙ですね……。どうすれば防げるんでしょうか?
先生「「大前提として、偽のフィッシングサイトを開かないこと。不審なSMSやメールから送られてくるサイトのリンクは絶対に開かない。そして、二段階認証はログインしてすぐに届くものですから、タイミングが遅れたり、身に覚えのない二段階認証が届いたりした場合は怪しいと思ってください。
また、サービスによっては二段階認証の通知は、ログインした日時や国、PCやスマホといった端末の種別が記載されるものもあるので、自分がログインしたものか確認するのもよいでしょう。とにかく怪しいと思った二段階認証は無視することです」」
――怪しいと思ったら、セキュリティコードを入力したり、リンクを開いたりしない。これに尽きますね。
先生「「はい。もしもログイン後の画面がいつもログインしたときに現れる画面と違う、ログインしたはずなのに画面がログイン中になっていないといったときは、不正ログインされている可能性が高いので、すぐにパスワードの変更を行い、サポート窓口にその後の対応を相談するのがよいでしょう。
ちなみに、auではIDとパスワード入力のあとに暗証番号の入力をしていただくことはありません。そういうサイトはフィッシングサイトです」」
――これまた本物そっくり……。うっかり暗証番号を入力しそうです。
先生「「au IDで4桁の暗証番号の入力が必要なのは登録情報の変更や決済をするときのみです。auユーザーなら覚えておくといいかもしれませんね。今回説明したことを踏まえて、新たにフィッシング詐欺に騙されないための7か条を考えましたので参考にしてください」」
- セキュリティ先生のフィッシング詐欺に騙されないための7か条
-
- 1. 二段階認証が設定できるサービスでは二段階認証の設定をしよう。
- 2. 不審なSMSやメールが届いても、絶対にサイトのリンクは開かない。
- 3. 疑わしいサイトやメールはアドレスを確認。さらに公式サイトと比べる、タイトルなどを検索して詐欺メール情報を確認する。
- 4. リンク先のサイトが疑わしい場合は絶対にIDやパスワードを入力しない。
- 5. ログインした覚えがないのに、二段階認証のメールが送られてきたら、絶対にログイン許可をしない。
- 6. 二段階認証の通知にログインした日時や国、端末の種別が記載されていた場合は、自分がログインしたものか確認しよう。
- 7. ID、パスワードの入力に続けて暗証番号入力を求めてくるものは怪しいサイトと考えよう。
文:TIME & SPACE編集部
※掲載されたKDDIの商品・サービスに関する情報は、掲載日現在のものです。商品・サービスの料金、サービスの内容・仕様などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。