現代のサイバー攻撃は、かつてないほど巧妙化しており、中でも急増しているのが「リアルタイムフィッシング」です。
従来のフィッシング攻撃を進化させ、被害者が入力した情報をリアルタイムで盗み取ることで、瞬時に不正利用が可能となる仕組みです。
本記事では、リアルタイムフィッシングの被害事例や手口、旧来のセキュリティ対策の限界を詳しく解説していきます。
リアルタイムフィッシングの脅威を正しく理解し、適切な対策を講じることが重要です。
1.リアルタイムフィッシングによる被害事例
NTTドコモ利用者のケース
2021年9月末から10月初めにかけて、NTTドコモの利用者がリアルタイムフィッシングの手口により、約1億円分のギフトカードを不正に購入される被害が発生しました。
被害者は「ドコモお客様センター」からの支払い確認を求める偽のSMSを受け取り、添付されたURLをクリック。
遠隔操作ウイルスを含む偽アプリ「NTTセキュリティ」をインストールさせられる仕組みです。
被害者が携帯端末に契約者確認用の暗証番号を入力すると、犯人は即座に盗み、ドコモのオンラインショップで不正購入を行ったと見られます。
従来のフィッシング攻撃と異なり、リアルタイムフィッシングでは、攻撃者が被害者の動作をリアルタイムで監視し、瞬時に情報を利用します。
このため、被害者が何が起こったのかを理解する前に、重大な損害が発生するリスクが高まっているのです。
2.リアルタイムフィッシングの手口
偽メールやSMSによる誘導
攻撃者は、まず被害者を偽サイトやアプリに誘導するために、信頼できる企業やサービスを装ったメールやSMSを送信します。
例えば、「ご利用料金のお支払いが確認できません」や「アカウントに不審なアクセスがありました」といった内容で、緊急性を感じさせるメッセージがよく使われる手口です。
被害者はメッセージに記載されたリンクをクリックしてしまい、偽のログインページやアプリに誘導されます。
偽ログインページと偽アプリの使用
リンクをクリックした被害者は、正規のログインページやアプリに見せかけた偽のページに辿り着きます。
この偽ページやアプリは被害者が疑いを持たないよう、本物と精巧に似せて作成されていることが通常です。
被害者は、普段通りログイン情報や暗証番号を入力してしまいますが、実際にはその情報は攻撃者のサーバーに送信される仕組みです。
リアルタイムでの情報収集
被害者が入力した情報は、リアルタイムで攻撃者に送信されます。
これにより、攻撃者は被害者がまだログイン中である間に、その情報を利用して正規のサービスにアクセスすることが可能になります。
例えば、銀行口座にアクセスして送金を行ったり、オンラインショップで商品を購入したりといった不正行為が即座に実行可能です。
即時不正利用の実行
攻撃者は、盗み取った情報を利用して、瞬時に不正な操作を行います。
被害者がログインしている間に、攻撃者が同じ情報を使って別のデバイスからアクセスし、アカウントの乗っ取りや資金の不正送金を行うことができます。
このプロセスは非常に迅速に行われるため、被害者が異常に気付く前に不正利用が完了しているケースがほとんどです。
3.リアルタイムフィッシングを可能とする仕組み
データ転送のリアルタイム性
リアルタイムフィッシングの最大の特徴は、被害者が入力した情報が瞬時に攻撃者へ送られる点です。
通常、被害者は偽のログインページやアプリに自分のIDやパスワードを入力しますが、その情報はリアルタイムで攻撃者のサーバーに転送されます。
攻撃者は被害者がログインしているその瞬間に、同じ情報を使って正規のサイトにアクセスし、不正行為をできる仕組みです。
中間者攻撃で2要素認証も突破
リアルタイムフィッシングの一部では、「中間者攻撃」という技術が使われることがあります。
これは、攻撃者が被害者と正規のウェブサイトやアプリの間に割り込み、通信を傍受する手法です。
攻撃者は、被害者が送信するデータを盗み取るだけでなく、被害者と正規サイトのやり取りをリアルタイムで操作することで、2要素認証を突破することも可能です。
例えば、攻撃者は偽サイトを作成し、被害者に「アカウントにリスクがある」と警告するメッセージを送信します。被害者が偽サイトにIDとパスワードを入力すると、それが正規サイトに転送され、セキュリティコードが被害者に送信されます。
被害者がそのコードを偽サイトに入力することで、攻撃者はコードを使って正規サイトにログインし、アカウントを乗っ取ることができるのです。
これにより、被害者が全く気付かないうちに、情報が盗まれ、悪用されます。
動的に生成されるフィッシングサイト
リアルタイムフィッシングで使用されるフィッシングサイトは、非常に短期間だけ存在し、その後すぐに消えることが多いです。
偽サイトは動的に生成され、攻撃者がターゲットを誘導するためだけに使われます。
従来のセキュリティ対策では、このような短命なサイトを発見しブロックすることが難しいため、被害を未然に防ぐことが難しくなっています。
4.旧来のセキュリティ対策の限界
静的パスワードの脆弱性
静的パスワードは、最も基本的なセキュリティ手段として広く使用されてきました。
ユーザーが一度設定したパスワードをずっと使い続けるこの手法は、シンプルで便利ですが、リアルタイムフィッシングの前では脆弱です。
被害者が偽のログインページに入力したパスワードは、即座に攻撃者に渡ります。
攻撃者はその瞬間に、このパスワードを使って正規のサイトにアクセスし、アカウントを乗っ取ることが可能です。
秘密の質問とセキュリティ質問の限界
パスワードの他に、多くのサービスは秘密の質問やセキュリティ質問を用意しています。
「母親の旧姓は?」や「初めて飼ったペットの名前は?」といった質問は、一見安全そうに思えますが、リアルタイムフィッシングの前ではこれらの質問も脆弱です。
被害者が偽のページで秘密の質問に回答すると、その情報も即座に攻撃者の手に渡ります。
攻撃者はこの情報を使って、さらなるセキュリティチェックを突破し、アカウントへの不正アクセスを可能にします。
ワンタイムパスワードも無力
ワンタイムパスワード(OTP)は、一度だけ使用できる使い捨てのパスワードとして、高い安全性を提供するものと考えられています。
ユーザーは毎回異なるOTPを使用するため、従来のフィッシング攻撃には有効です。
しかし、リアルタイムフィッシングでは、被害者がOTPを入力したその瞬間に攻撃者がこれを傍受し、即座に正規のサイトで不正使用されてしまいます。
5.Infront Securityによる解決策
旧来のセキュリティ対策が通用しにくいリアルタイムフィッシングですが、Infront Securityの電話番号、端末情報を使った認証の仕組みであれば対処が可能です。
電話+端末認証の仕組み
Infront Securityは特許技術に基づき、顧客データベース(DB)に登録されている電話番号と利用者から発信された電話番号を認証サーバで照合し、端末認証を行います。
併せて接続している端末の端末情報を取得し端末DBに情報を登録します。
これによりID入力のみ(パスワード入力も可能)で利用者の端末情報の認証を組み合わせることで、ワンタイムパスワード等の入力を不要とし、簡単かつセキュアなログイン方法を提供しています。
既存のIDとパスワードに加えて、上記の端末情報を使用する二要素認証となっています。
IDとパスワードが漏洩しても、登録済みの利用者端末以外からのログインは不可能です。
また、ID・パスワードを送信するインターネット網とは別に、通信キャリアが管理する電話網を利用する二経路認証も行われます。
攻撃者による侵入を防ぐフロー
1.攻撃者による機密情報のリアルタイム取得:
攻撃者はリアルタイムフィッシングを利用して、被害者のIDやパスワードなどの機密情報を即座に取得します。
2.正規サイトへの即時ログイン試行:
攻撃者は取得した機密情報を用いて、正規のサイトに即座にログインを試みます。
3.端末情報エラーの発生(Infront Securityによる効果発動):
攻撃者が使用した端末が、システムに登録された正規の端末と異なるため、システムは端末情報エラーを検出し、ログインがブロックされます。
4.本人確認フローへの移行:
端末情報エラーが発生すると、端末変更の手続きが走ることとなります。
機種変更(番号変更なし): 顧客データベースに登録された氏名や生年月日などを確認した後、機種変更の電話番号認証が行われます。
機種変更(番号変更あり): 顧客データベースに登録された電話番号や氏名を確認した後、オペレーターによる本人確認が行われます。
攻撃者の端末は、被害者とは異なる端末ですので、機種変更のプロセスが走ることとなります。
オペレーターによる本人確認が行われるため、不正利用を未然に防げる仕組みです。