コラム
GmailのSMS認証が廃止へ|なぜ?フィッシング対策と二要素認証の今後
フォーブスの記事によると、GoogleはGmailのログイン時に利用されていたSMS認証を廃止する方針を発表しました。この変更はセキュリティの強化を目的としたものですが、なぜ今このタイミングで行われるのでしょうか? 本記事では、SMS認証が抱えるリスクやGoogleの方針、そして今後の代替認証手段について詳しく解説します。 1. GmailのSMS認証が廃止される理由 SMS認証の脆弱性(フィッシング詐欺とトラフィックポンピング) Gmailの広報担当者リッチェンドルファー氏と同僚のサムラ氏によれば、GmailのSMS認証廃止の背景には二つのセキュリティリスクがあるといいます。 一つ目はフィッシング詐欺のリスクです。 SMS認証コードは、偽のログインページを使ったフィッシング攻撃によって盗まれるリスクがあります。ユーザーが正規のGoogleサイトだと思い込み認証コードを入力すると、その情報が攻撃者に渡り、不正アクセスの危険性が高まります。その結果、アカウントが乗っ取られたり、個人情報が流出して被害が発生するケースも少なくありません。 二つ目は、トラフィックポンピングの被害拡大です。 これは詐欺業者がGoogleのSMS認証を悪用し、自分たちの管理する番号に大量の認証コードを送信させることで、手数料を不正に得る手口です。 本来SMS認証の実行時にはGoogleから通信キャリアに支払いが発生します。しかし、一部の通信キャリアは詐欺業者と結託し、Googleから受け取る手数料の一部を詐欺業者に還元することで、不正な利益を生み出しています。 こうした構造により、Googleは不要なコスト負担を強いられ、結果的にSMS認証の維持が企業にとって大きな負担となっています。 Googleが進めるセキュリティ強化の方向性 Googleは、SMS認証の廃止を単なる仕様変更ではなく、全体的なセキュリティ強化の一環と位置付けています。 SMS認証はフィッシング攻撃の標的になりやすく、さらにトラフィックポンピングによる不正なコスト負担を招くリスクもあります。そのため、Googleはより安全な認証方法への移行を進めています。 すでに生体認証や二要素認証の強化が進められており、さらなる対策として利便性と安全性を両立した新たな認証手段の導入が検討されています。 2. 代替案としての認証手段 二要素認証アプリ 二要素認証アプリとは、パスワードに加えてもう一つの認証要素を必要とすることで、セキュリティを強化する仕組みです。その代表例が「Google Authenticator」です。このアプリは、ログイン時にワンタイムパスワード(OTP)を生成し、そのコードを入力することで認証を行います。 SMS認証と異なり、フィッシング攻撃でコードを盗まれるリスクが低く、通信キャリアを経由しないためトラフィックポンピングの影響も受けません。 また、インターネット接続が不要なため、より安全な認証手段として多くのサービスで採用されています。 プッシュ通知型認証 Googleプロンプトは、スマートフォンに直接ログイン通知を送信し、ワンタップで認証を完了できる仕組みです。この方式の最大の特徴は、ユーザーが手入力でコードを入力する必要がない点です。 フィッシング攻撃では、偽のサイトでユーザーに認証コードを入力させる手口が一般的ですが、Googleプロンプトではそのような手法が通用しません。 ユーザー自身がログインリクエストを確認して承認するため、不正アクセスのリスクを大幅に減らすことができます。 パスキー 近年、Googleはパスワードレス認証の普及を進めており、その中心的な技術が「パスキー」です。パスキーは、指紋認証や顔認証、PINコードを利用して、従来のパスワード入力を不要にする認証方式です。 端末に直接認証情報を保存するため、外部からの攻撃によってパスワードが流出するリスクを防ぐことができます。さらに、ユーザーは複雑なパスワードを覚える必要がなく、セキュリティと利便性を両立できる点が大きなメリットです。...
お知らせ一覧
「フィッシング詐欺」過去最悪の被害額541億円:最新動向と対策を解説
フィッシング詐欺被害の規模は年々拡大し、2023年の被害額は過去最悪の541億円に達しました。国民生活センターにも数多くの相談が寄せられています。こうした状況を受け、官民一体となった啓発キャンペーンが展開され、消費者向けのチェックリストが公開されています。しかし、これらの対策だけでは十分ではないのが実態です。本記事では、相談事例や現状の対策の課題を整理し、事業者が講じるべき対応策を解説します。 1.フィッシング詐欺の被害額は過去最悪 国民生活センターによると、フィッシング詐欺の被害が急増し、2023年には被害額が過去最悪の541億円に達しました。背景には、インターネット利用のさらなる普及や、オンライン取引が日常化したことが挙げられます。また、詐欺グループの手口が年々巧妙化しており、メールやSMSだけでなく、多様なチャネルを活用してターゲットに接触する事例が増加しています。 消費者庁の報告によると、被害は特定の世代や地域に限らず、幅広い層に広がっているようです。高齢者だけでなく、デジタルに慣れた若年層も被害に遭うケースが目立ち、これまで安全とされていた認証システムを逆手に取るような手法も確認されています。 こうした詐欺が広がる背景には、多くの人が「自分は被害に遭わない」という過信や、忙しい日常で十分な注意が払えない現状もあります。 2.国民生活センターへ寄せられた相談事例 ここでは、実際に国民生活センターへ寄せられた詐欺被害の相談事例について紹介していきます。フィッシング詐欺がいかに日常に潜んでいるかを物語っています。被害者に共通するのは、偽の通知やメールを「本物」と信じてしまう状況に陥った点です。 【事例1】通販サイトからメールが届き、クレジットカード番号を入力したら不正利用された 大手通販サイトから携帯電話に「会員満期通知」という件名でメールが届いた。メールを開く と、「月会費 550 円が引き落としできませんでした」と書いてあり「会員ログイン」という記載が あったのでタップして遷移した。切り替わったページにはクレジットカード番号を入力する欄が あったのでクレジットカード番号を入力した。しばらくして、クレジットカード会社から連絡が あり、第三者に5万円使われたことがわかった。どうすればいいか。(2023 年 5 月受付 年代不明 女性) 【事例2】不在通知の SMS が届き、パスワード等を入力したらキャリア決済で課金された 宅配業者から不在通知の SMS が届き、詳細を確認するために記載されていたリンク先の URL か らログインしてパスワード等を入力した。その後、キャリア決済によって身に覚えのないオンラ インゲームで約1万...
お知らせ一覧
急増するリアルタイムフィッシングの脅威と対策
現代のサイバー攻撃は、かつてないほど巧妙化しており、中でも急増しているのが「リアルタイムフィッシング」です。従来のフィッシング攻撃を進化させ、被害者が入力した情報をリアルタイムで盗み取ることで、瞬時に不正利用が可能となる仕組みです。 本記事では、リアルタイムフィッシングの被害事例や手口、旧来のセキュリティ対策の限界を詳しく解説していきます。リアルタイムフィッシングの脅威を正しく理解し、適切な対策を講じることが重要です。 1.リアルタイムフィッシングによる被害事例 NTTドコモ利用者のケース 2021年9月末から10月初めにかけて、NTTドコモの利用者がリアルタイムフィッシングの手口により、約1億円分のギフトカードを不正に購入される被害が発生しました。被害者は「ドコモお客様センター」からの支払い確認を求める偽のSMSを受け取り、添付されたURLをクリック。 遠隔操作ウイルスを含む偽アプリ「NTTセキュリティ」をインストールさせられる仕組みです。被害者が携帯端末に契約者確認用の暗証番号を入力すると、犯人は即座に盗み、ドコモのオンラインショップで不正購入を行ったと見られます。 従来のフィッシング攻撃と異なり、リアルタイムフィッシングでは、攻撃者が被害者の動作をリアルタイムで監視し、瞬時に情報を利用します。このため、被害者が何が起こったのかを理解する前に、重大な損害が発生するリスクが高まっているのです。 2.リアルタイムフィッシングの手口 偽メールやSMSによる誘導 攻撃者は、まず被害者を偽サイトやアプリに誘導するために、信頼できる企業やサービスを装ったメールやSMSを送信します。例えば、「ご利用料金のお支払いが確認できません」や「アカウントに不審なアクセスがありました」といった内容で、緊急性を感じさせるメッセージがよく使われる手口です。被害者はメッセージに記載されたリンクをクリックしてしまい、偽のログインページやアプリに誘導されます。 偽ログインページと偽アプリの使用 リンクをクリックした被害者は、正規のログインページやアプリに見せかけた偽のページに辿り着きます。この偽ページやアプリは被害者が疑いを持たないよう、本物と精巧に似せて作成されていることが通常です。被害者は、普段通りログイン情報や暗証番号を入力してしまいますが、実際にはその情報は攻撃者のサーバーに送信される仕組みです。 リアルタイムでの情報収集 被害者が入力した情報は、リアルタイムで攻撃者に送信されます。これにより、攻撃者は被害者がまだログイン中である間に、その情報を利用して正規のサービスにアクセスすることが可能になります。例えば、銀行口座にアクセスして送金を行ったり、オンラインショップで商品を購入したりといった不正行為が即座に実行可能です。 即時不正利用の実行 攻撃者は、盗み取った情報を利用して、瞬時に不正な操作を行います。被害者がログインしている間に、攻撃者が同じ情報を使って別のデバイスからアクセスし、アカウントの乗っ取りや資金の不正送金を行うことができます。このプロセスは非常に迅速に行われるため、被害者が異常に気付く前に不正利用が完了しているケースがほとんどです。 3.リアルタイムフィッシングを可能とする仕組み データ転送のリアルタイム性 リアルタイムフィッシングの最大の特徴は、被害者が入力した情報が瞬時に攻撃者へ送られる点です。通常、被害者は偽のログインページやアプリに自分のIDやパスワードを入力しますが、その情報はリアルタイムで攻撃者のサーバーに転送されます。攻撃者は被害者がログインしているその瞬間に、同じ情報を使って正規のサイトにアクセスし、不正行為をできる仕組みです。 中間者攻撃で2要素認証も突破 リアルタイムフィッシングの一部では、「中間者攻撃」という技術が使われることがあります。これは、攻撃者が被害者と正規のウェブサイトやアプリの間に割り込み、通信を傍受する手法です。攻撃者は、被害者が送信するデータを盗み取るだけでなく、被害者と正規サイトのやり取りをリアルタイムで操作することで、2要素認証を突破することも可能です。 例えば、攻撃者は偽サイトを作成し、被害者に「アカウントにリスクがある」と警告するメッセージを送信します。被害者が偽サイトにIDとパスワードを入力すると、それが正規サイトに転送され、セキュリティコードが被害者に送信されます。 被害者がそのコードを偽サイトに入力することで、攻撃者はコードを使って正規サイトにログインし、アカウントを乗っ取ることができるのです。これにより、被害者が全く気付かないうちに、情報が盗まれ、悪用されます。 動的に生成されるフィッシングサイト リアルタイムフィッシングで使用されるフィッシングサイトは、非常に短期間だけ存在し、その後すぐに消えることが多いです。偽サイトは動的に生成され、攻撃者がターゲットを誘導するためだけに使われます。従来のセキュリティ対策では、このような短命なサイトを発見しブロックすることが難しいため、被害を未然に防ぐことが難しくなっています。 4.旧来のセキュリティ対策の限界 静的パスワードの脆弱性 静的パスワードは、最も基本的なセキュリティ手段として広く使用されてきました。ユーザーが一度設定したパスワードをずっと使い続けるこの手法は、シンプルで便利ですが、リアルタイムフィッシングの前では脆弱です。 被害者が偽のログインページに入力したパスワードは、即座に攻撃者に渡ります。攻撃者はその瞬間に、このパスワードを使って正規のサイトにアクセスし、アカウントを乗っ取ることが可能です。 秘密の質問とセキュリティ質問の限界...
お知らせ一覧
進化するフィッシング詐欺:AI技術を駆使した巧妙な手口と対策
AI技術の飛躍的な進歩に伴い、フィッシング詐欺の手口も一層巧妙化しています。例えば、従来のフィッシングメールは単純な詐欺文が多かったものの、現在では文法的に正確で自然な文章が生成され、受信者を騙す手法が高度化しています。進化する脅威に対し、企業はどのようにして防御策を講じるべきでしょうか。本記事では、巧妙化するフィッシング詐欺の手口と、その対策について詳しく解説します。 1.AI技術によるフィッシング詐欺の巧妙化 フィッシングメールの認知や、一定の対策がユーザーの間に広まった一方で、フィッシングメールもAIの登場により劇的な進化を遂げました。本節では、フィッシングの手法が具体的にどのように進化しているのかについて詳しく解説します。 AIによるフィッシングメールの生成 従来のフィッシングメールには明らかな誤りやスペルミスが多く、容易に見破ることができました。現在ではAIを活用し、まるで人が書いたかのような人間らしい文章が生成されるため、受信者に対する信憑性が飛躍的に向上しています。これは、AIが大量のデータを分析し、適切な言葉遣いや表現を学習することにより実現されています。 AIによって生成されたフィッシングメールは、文章としての正確さに加えて、より自然な言い回しと正規のメールの口調を模倣できるため、一見すると正規の企業や個人から送られてきたもののように見えるほどの精巧さです。 ターゲットを狙った個別化の向上 AIの活用により、SNSやインターネット上に公開されている情報を収集し、フィッシングメールにターゲットの関心や趣味に合わせた内容を織り込めます。ターゲットの過去のメールや通信パターンを学習し、そのスタイルやトーンを模倣することまで可能です。 例えば、ターゲットの名前や職務内容から、個々に宛てた形式にするとともに、過去に特定の企業と取引をしていた場合、その企業名や取引内容に関する情報をメールに含めることで、受信者はそのメールが正当なものであると錯覚しやすくなります。 フィッシング攻撃の自動化 AIはターゲットのメールアドレスを収集し一斉送信を行います。テンプレートを自動生成し、それぞれのテンプレートを個別のターゲットに合わせてカスタマイズまで行います。数千、数万件のフィッシングメールを短時間で作成・送信でき、その規模と速度は企業や個人にとって大きな脅威です。 さらに、送信後のメールの効果をAIに分析させ、精度を向上することが可能です。例えば、どのメールが開封され、どのリンクがクリックされたのかといったデータを収集し、それに基づいて次の攻撃をより効果的にするための調整を行います。このようにして、フィッシング攻撃は継続的に改善され、ますます高度で巧妙な手法が生まれる仕組みとなっています。 ソーシャルエンジニアリングの強化 ソーシャルエンジニアリングとは、人間の心理や行動を巧みに利用して情報を引き出す技術です。AIは、ターゲットのオンライン行動やソーシャルメディアでの活動を分析し、その人の興味や関心、行動パターンを把握します。得た情報をもとに、ターゲットが反応しやすい内容や状況を巧みに作り上げ、説得力のあるフィッシングメールを生成する仕組みです。 ターゲットの人間関係から、信頼できる人物になりすましてメールを送ることも可能です。同僚や友人の言葉遣いやコミュニケーションスタイルを模倣することで、ターゲットはメールの信憑性を疑うことなく、情報を提供してしまう可能性が高まります。 検出回避技術の進化 従来のフィッシングメールは、スパムフィルターやセキュリティシステムによって比較的容易に検出されていましたが、AIを活用することで、防御策を回避する手法がますます洗練されてきています。 AIは、セキュリティシステムの検出アルゴリズムを学習し、その弱点を見つけ出すことができるのです。フィッシングメールのテンプレートを複数作成し、それぞれに微妙な変更を加えることで、検出されにくいメールを大量に生成したり、ネットワークトラフィックの分析を行い、通常の通信パターンに合わせてフィッシングメールを送信することで、検出されにくくしたりしています。 2. 巧妙なフィッシングメールの事例 では、巧妙なフィッシングメールの具体的な事例を見ていきましょう。ここでは、大手企業を標的にしたフィッシングメールを取り上げます。多くの犯罪者たちが、有名企業の信頼性を悪用し、ユーザーを騙そうとしています。これらの事例から、AIを悪用したフィッシング詐欺がどれほど高度化しているか実感を持っていただけるでしょう。 楽天銀行を装った事例 楽天銀行を騙り、ATMで入金取引があったことを知らせ、ログインを促すフィッシングメールです。いくつかのリンクがメールに貼られており、一番上以外は全て本物の楽天銀行のサイトへ飛ぶ仕組みです。 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? フィッシングサイトはID・PASSを登録するフォームですが、作りは精巧そのもので、URLが不自然な点以外、見分けがつきません。ログインすると、楽天の本物のサイトへ遷移します。 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? 通常は名前やメールアドレスなどの個人情報、クレジットカード番号などをフィッシングサイトで取得しますが、今回のフィッシング詐欺はシンプルにID・PASSのみを抜き取ることを目的としています。個人情報がなくともID・PASSさえあれば、個人情報の取得など悪用できることも多いため、シンプルな罠で最大限の被害を狙ったものと言えます。 ヤマト運輸を装った事例 続いて、ヤマト運輸の事例です。「お荷物お届けのお知らせ」というタイトルで、ヤマト運輸を装ったメールが送られてきます。出典:弁護士JPニュース急増「フィッシング詐欺」なぜ引っかかる?...
お知らせ一覧