COLUMN

2段階認証も安全じゃない?! ~巧妙化する数々の手口~

2019.11.11 :

サイバー犯罪、特にスマートフォンを狙った手口が巧妙化しています。
知っていたはずなのに、気をつけていたはずなのに、ついついだまされた、などということのないように、最新の手口を取材してきました。

2段階認証でも安全ではない

「2段階認証」はご存じですか?
インターネットのセキュリティーが高まるとして、最近、さまざまなところに使われています。使っているという人も多いのではないでしょうか。

ところがこの2段階認証を狙った手口が増えてきています。
いったいどんな手口なのでしょうか?

そもそも2段階認証というのは、会員ページやインターネット決済などを利用する際に、ただIDとパスワードでログインするのに加えて、事前に登録したスマートフォンに追加の暗証番号が送られてくるなどして、それを入力することで本人認証を行うものです。
スマートフォン以外では、事前に渡されるパスワードカードのようなものを活用する場合もあります。

本人確認の方法としては非常に効果的に見えます。これを狙った不正アクセスってどうやるのでしょうか。
仕組みは実に巧妙でした。

まず、金融機関などを装った偽のメールやメッセージが送られてきます。
「あなたのセキュリティーに不備があります」とか「すぐに口座の確認が必要です」などの不安をあおる内容が多いということで、ついつい記載されたURLをクリックしてしまいます。
すると移動先は、本物そっくりに作られた偽のウェブサイトです。気がつかないままIDとパスワードを入力してしまう人がいても無理は無いと感じました。この偽のウェブサイト、入力したIDやパスワードは、そのまま盗み取られてしまいます。

しかし…。

ここまでは通常のフィッシング詐欺(偽のメールで個人情報などを盗み取る手口)やスミッシング(SMS機能を使ったフィッシング詐欺)と変わりません。違うのはここからです。
偽のウェブサイトの向こうにいるサイバー犯罪者(自動化されているとみられますが)が、盗み取ったIDとパスワードを使ってすぐに正規のウェブサイトにログインするのです。すると事前に登録された被害者本人のスマートフォンなどに追加の暗証番号が送られてきます。これまでのフィッシング詐欺などでは、この時点で、被害者(になったかもしれない人)は、異変に気がつきました。
ところが、新しい手口では、偽のウェブサイトにこの追加のパスワードを入力するよう求める画面が表示されるのです。被害者からすれば、通常の2段階認証を利用しているのとほとんど見分けがつきません。
ここで入力してしまうと、2段階認証が完了し、被害にあってしまいます。
情報セキュリティー会社の調査によりますと、こうした「2段階認証」を狙った偽のサイトは、ことし9月だけで94件確認されました。前の月から2倍以上に増えていたということです。

どうすれば防ぐことができるのでしょうか。

まずは、最初の偽メールや偽メッセージの段階で、心当たりが無い内容だったり、自分の名前がしっかりと記載されていなかったりなど、不自然な場合は、書かれたURLにアクセスしないよう注意が必要です。さらに、情報セキュリティー会社によりますと、こうした偽のサイトでは、暗証番号を入力する手順がいつもと少し異なっていたりするなど、違和感を感じる場合も少なくないそうです。そうした場合には改めてサイトを確認する必要があります。
10月に入ってからは、買い物をした代金を、携帯料金と合わせて支払う「キャリア決済」と「ネットバンキング」の両方のIDやパスワードを、一緒に盗み取られる新しい手口も確認されているということで、なおさら注意が必要です。

紛れ込む偽メッセージ

ほかにも巧妙な手口があります。
スマートフォンのショートメッセージ機能の悪用です。
電話番号だけで送信できるスマートフォンのショートメッセージでは、同じ相手とのやりとりが1つの画面にまとめて表示されます。
同じ相手とのやり取りが一目で分かるため、便利な機能ですが、情報セキュリティー会社によりますと、インターネット通販会社などのメッセージが表示されている同じ画面に偽のメッセージを紛れ込ませる手口が出てきているということです。
通常は、送信元が違うと同じ画面には表示されないはずなのにどうしてこんなことが起こるのでしょうか?
情報セキュリティー会社の調査では、その秘密は、海外からショートメッセージが送信できる「国際SMS」と呼ばれるサービスにありました。この「国際SMS」を使えば、送信元の名前を自由に変えることができるのです。例えば、ネット通販会社などと同じ名前に設定して、メッセージを送ると、本物のネット通販会社からのメッセージと同じ画面に表示されるというのです。
こうした偽のメッセージは、やはり個人情報を盗み取ろうとする悪意のあるサイトなどに誘導するのが目的とみられています。
正規のメッセージしか届かないと安心しているところに、偽のメッセージが紛れ込んでいると、見分けるのはより難しくなってしまいます。
ただ、国際SMSでも名前が偽装されても同じ画面にメッセージを表示させない対策もできるということで、実際にそうした対策をとっていると見られるネット通販会社もありました。
また、大手携帯電話会社のNTTドコモでは国際SMSを拒否する方法をウェブサイトで紹介しています。

情報セキュリティー会社では、「国際SMS」を利用している事業者に対して、なりすましの標的になるリスクがあるとして、対策を呼びかけるとともに、利用者に対しても偽のウェブサイトを検知してくれるセキュリティー対策のアプリを使うなど、注意を呼びかけています。
そして、もう1つ、不審なメールは、不安な心につけ込んできます。
ことし11月、気象庁を装って地震や津波に関する偽のアプリをダウンロードさせようとする不審なメールの情報が相次ぎました。
偽のメールは、気象庁の報道発表に似せたスタイルで、「津波や地震の情報を早く届けるアプリを開発した」と記載されていました。
そして、そのアプリをダウンロードするリンクが貼られています。
しかし、実際には、気象庁はこうしたアプリを配布しておらず、不特定多数の人にアプリのダウンロードを促すメールを送ることもないということです。
こうしたアプリをダウンロードしてしまうと、スマートフォンやパソコンの中にある情報を勝手に外部に送信されてしまう恐れがあります。

必要な気構えは?

本物か、偽物か?
見分けるのが難しい巧妙なケースが次々に登場し、私たちの情報を常に狙っています。
日頃からどのようなことに気をつければいいのか。
情報セキュリティー会社「トレンドマイクロ」の山外一徳さんは
「どんどん利用者が気づくのが難しくなってきている。2段階認証だから安心するのではなく、またいつももは違うと違和感を感じたら情報を入力する前に、またクリックする前に一度立ち止まって確認して欲しい。そのためにも日頃から最新の手口について情報収集しておくことが重要だ」
と話していました。
中西一博さん
また、情報セキュリティーについて詳しい「アカマイ・テクノロジーズ」の中西一博さんは、
「2段階認証のような多要素認証は一見根本的な対策に思えるが、攻め手はそれを乗り越える手を考えてきている。『何時間、何日以内に対応してください、さもないと失効します』などと急かせるのは大抵詐欺と思ってよく、これらの攻撃は、ITに詳しくない人が標的となっている。詳しい人は、自身の親や子どもに『こういうメッセージが来たら自分で判断しないで、まず相談して』と伝えておくことが重要だ」
と指摘しています。

IT技術の発達で日々、便利になる私たちの生活。
それに合わせてサイバー犯罪の被害にあうリスクも日に日に高まっています。
最終的には、自分で気づいて、立ち止まり、対処することが求められる時代になっています。
「この食品は食べても大丈夫?傷んでいない?」とか「子どもは知らない人について行っちゃダメ」など、ふだんの生活でも注意が必要なことがありますよね。
ITの分野も同じです。
生活の中で、自然に危険を察知する、または気をつけるといった感覚をどうやって養っていくのか、今後の課題だと感じました。

科学文化部記者

鈴木有

平成22年入局。初任地の鹿児島放送局では、種子島のロケット取材などを経験。平成27年から科学文化部で文部科学省を担当。現在は、主に宇宙、科学分野を取材しています。

鈴木有記者の記事一覧へ

記事の内容は作成当時のものです

COLUMN一覧に戻る

関連記事