コンピュータ犯罪は、最近ますます巧妙化・高度化しています。
インターネットバンキングで、IDやパスワードが盗み取られる詐欺の発生していることは何年も前から報道されています。そのため、「ワンタイムパスワード」や「二段階認証」を取り入れる銀行が増えてきました。
GoogleアカウントやNTTドコモのdアカウントでも、「二段階認証」の利用を推奨しています。
しかし最近、「二段階認証」のシステムの穴を突いた「フィッシング詐欺」が発生しているとの報道がありました。「二段階認証を使っているから絶対安心」とは言えなくなってきたのです。
今回はこれについて分かりやすく解説してみたいと思います。
1.二段階認証
一般的にソフトウェアやウェブサイトにログインする場合、「IDとパスワードを入力」します。しかし「二段階認証」の場合は、さらに「秘密の質問やセキュリティコードの入力」や、「指紋やSMS」など「もう一度認証作業が必要」となります。
つまり「二段階認証」とは「二度の認証を行うこと」です。
「パスワード+秘密の質問」や「パスワード+セキュリティコード入力」がよく用いられていますが、「指紋などの生体情報」や「SNS」のように違う要素の認証を加えた認証は「二要素認証」と呼ばれています。
この「二段階認証」は、悪意の第三者がどこかから流出したIDとパスワードを入手してログインを試す「リスト型攻撃」を行った場合、利用者がログインした覚えがないのに「二段階認証の通知」が送られてきます。そこで「不審なログインがあった」と気付いて、本人が二段階認証で送られてきたセキュリティコードを入力しなければ、被害は防げます。
2.二段階認証の穴を突いたフィッシング詐欺
KDDIのUX・品質向上推進部の新井契氏によれば、手口と対策は次の通りです。
(1)手口
「本物そっくりなフィッシング詐欺のログイン画面」を作った悪意の第三者が、本人が本物と勘違いして「フィッシング詐欺のログイン画面」にログインした直後に、本物の画面にログインした場合は、「本物の二段階認証の通知」が本人に届きます。
本人は「本物の画面にログインしたつもり」ですので、許可します。その結果、悪意の第三者のログインを許してしまうことになるのです。
手口を順を追って説明します。
①「悪意の第三者」が、「利用者」に「SNSやメール」から「フィッシングサイトの偽情報」を送る。
「利用者」はそれを「本物のサービスからのもの」だと思って、URLから偽サイトにアクセスし、IDとパスワードを入力する
②「悪意の第三者」は、入力されたIDやパスワードを知り、本物のサービスサイトのログインページにすかさず入力する。(この行為自体が「自動化」されている場合もあるそうです)
これは「悪意の第三者」が裏で「本物のサイト」にログインしているので、「利用者」からはわからない
③「悪意の第三者」が「本物のサイト」にログインしたので、「本物のサイト」から「二段階認証のメールやSNSの通知」が「利用者」に送られる
④「利用者」は「二段階認証の通知」をもとに、「悪意の第三者」が用意した「偽サイトの画面」にセキュリティコードを入力してしまう
これにより、「悪意の第三者」にセキュリティコードが伝わり、「悪意の第三者」が「本物のサイト」にセキュリティコードを入力する
⑤「悪意の第三者」は「不正ログインに成功」し、「他人のアカウントでネットショッピング」などの不正を行う
「利用者」には、本物のサイトのトップ画面や本物に似せたサイトが表示され、あたかもサービスにログインしたかのような状態と勘違いしてしまう(しかし、実際には「利用者」はログインできていない状態)
(2)対策
①偽のフィッシングサイトを開かないこと
具体的には、不審なSNSやメールから送られてくるサイトのリンクは絶対に開かないことです。
②タイミングが遅れたり、身に覚えのない二段階認証が届いた場合はセキュリティコードを入力しないこと
二段階認証はログインしたらすぐ届くものなので、タイミングが遅れたり、身に覚えのない二段階認証が届いた場合は怪しいと思って間違いありません。
③ログイン後の画面がいつもと違う場合や、ログインしたはずなのにログイン中になっていない場合はパスワードをすぐ変更すること
この場合は、パスワードを変更した後、サポート窓口にその後の対応を相談する必要があります。
④IDとパスワードの入力の後に「暗証番号入力」を求めてくるものは、怪しいサイトと考えて間違いないので、絶対に入力しないこと
暗証番号の入力が必要なのは、「登録情報の変更」や「決済」をする時だけなので、うっかり暗証番号を入力しないように注意が必要です。