コラム
急増するリアルタイムフィッシングの脅威と対策
現代のサイバー攻撃は、かつてないほど巧妙化しており、中でも急増しているのが「リアルタイムフィッシング」です。従来のフィッシング攻撃を進化させ、被害者が入力した情報をリアルタイムで盗み取ることで、瞬時に不正利用が可能となる仕組みです。 本記事では、リアルタイムフィッシングの被害事例や手口、旧来のセキュリティ対策の限界を詳しく解説していきます。リアルタイムフィッシングの脅威を正しく理解し、適切な対策を講じることが重要です。 1.リアルタイムフィッシングによる被害事例 NTTドコモ利用者のケース 2021年9月末から10月初めにかけて、NTTドコモの利用者がリアルタイムフィッシングの手口により、約1億円分のギフトカードを不正に購入される被害が発生しました。被害者は「ドコモお客様センター」からの支払い確認を求める偽のSMSを受け取り、添付されたURLをクリック。 遠隔操作ウイルスを含む偽アプリ「NTTセキュリティ」をインストールさせられる仕組みです。被害者が携帯端末に契約者確認用の暗証番号を入力すると、犯人は即座に盗み、ドコモのオンラインショップで不正購入を行ったと見られます。 従来のフィッシング攻撃と異なり、リアルタイムフィッシングでは、攻撃者が被害者の動作をリアルタイムで監視し、瞬時に情報を利用します。このため、被害者が何が起こったのかを理解する前に、重大な損害が発生するリスクが高まっているのです。 2.リアルタイムフィッシングの手口 偽メールやSMSによる誘導 攻撃者は、まず被害者を偽サイトやアプリに誘導するために、信頼できる企業やサービスを装ったメールやSMSを送信します。例えば、「ご利用料金のお支払いが確認できません」や「アカウントに不審なアクセスがありました」といった内容で、緊急性を感じさせるメッセージがよく使われる手口です。被害者はメッセージに記載されたリンクをクリックしてしまい、偽のログインページやアプリに誘導されます。 偽ログインページと偽アプリの使用 リンクをクリックした被害者は、正規のログインページやアプリに見せかけた偽のページに辿り着きます。この偽ページやアプリは被害者が疑いを持たないよう、本物と精巧に似せて作成されていることが通常です。被害者は、普段通りログイン情報や暗証番号を入力してしまいますが、実際にはその情報は攻撃者のサーバーに送信される仕組みです。 リアルタイムでの情報収集 被害者が入力した情報は、リアルタイムで攻撃者に送信されます。これにより、攻撃者は被害者がまだログイン中である間に、その情報を利用して正規のサービスにアクセスすることが可能になります。例えば、銀行口座にアクセスして送金を行ったり、オンラインショップで商品を購入したりといった不正行為が即座に実行可能です。 即時不正利用の実行 攻撃者は、盗み取った情報を利用して、瞬時に不正な操作を行います。被害者がログインしている間に、攻撃者が同じ情報を使って別のデバイスからアクセスし、アカウントの乗っ取りや資金の不正送金を行うことができます。このプロセスは非常に迅速に行われるため、被害者が異常に気付く前に不正利用が完了しているケースがほとんどです。 3.リアルタイムフィッシングを可能とする仕組み データ転送のリアルタイム性 リアルタイムフィッシングの最大の特徴は、被害者が入力した情報が瞬時に攻撃者へ送られる点です。通常、被害者は偽のログインページやアプリに自分のIDやパスワードを入力しますが、その情報はリアルタイムで攻撃者のサーバーに転送されます。攻撃者は被害者がログインしているその瞬間に、同じ情報を使って正規のサイトにアクセスし、不正行為をできる仕組みです。 中間者攻撃で2要素認証も突破 リアルタイムフィッシングの一部では、「中間者攻撃」という技術が使われることがあります。これは、攻撃者が被害者と正規のウェブサイトやアプリの間に割り込み、通信を傍受する手法です。攻撃者は、被害者が送信するデータを盗み取るだけでなく、被害者と正規サイトのやり取りをリアルタイムで操作することで、2要素認証を突破することも可能です。 例えば、攻撃者は偽サイトを作成し、被害者に「アカウントにリスクがある」と警告するメッセージを送信します。被害者が偽サイトにIDとパスワードを入力すると、それが正規サイトに転送され、セキュリティコードが被害者に送信されます。 被害者がそのコードを偽サイトに入力することで、攻撃者はコードを使って正規サイトにログインし、アカウントを乗っ取ることができるのです。これにより、被害者が全く気付かないうちに、情報が盗まれ、悪用されます。 動的に生成されるフィッシングサイト リアルタイムフィッシングで使用されるフィッシングサイトは、非常に短期間だけ存在し、その後すぐに消えることが多いです。偽サイトは動的に生成され、攻撃者がターゲットを誘導するためだけに使われます。従来のセキュリティ対策では、このような短命なサイトを発見しブロックすることが難しいため、被害を未然に防ぐことが難しくなっています。 4.旧来のセキュリティ対策の限界 静的パスワードの脆弱性 静的パスワードは、最も基本的なセキュリティ手段として広く使用されてきました。ユーザーが一度設定したパスワードをずっと使い続けるこの手法は、シンプルで便利ですが、リアルタイムフィッシングの前では脆弱です。 被害者が偽のログインページに入力したパスワードは、即座に攻撃者に渡ります。攻撃者はその瞬間に、このパスワードを使って正規のサイトにアクセスし、アカウントを乗っ取ることが可能です。 秘密の質問とセキュリティ質問の限界...
深刻化する転売問題の背景を徹底解説:効果的な多重アカウント対策とは?
チケット不正転売禁止法違反による摘発が相次いでいますが、その取り締まりには法的な限界と技術的な課題が存在します。この記事では、不正転売の背景と、その対策について詳しく解説していきます。 1.高額転売の摘発続々と チケット不正転売禁止法が2019年に施行されたにもかかわらず、転売は依然として社会問題であり続けています。実際に起きた不正転売の事件を見てみましょう。https://www.bengo4.com/c_1009/n_17581/50代男性が「ハロー!プロジェクト」のライブチケットを転売し、チケット不正転売禁止法違反の疑いで書類送検された例です。ライブチケット2枚を転売サイトに出品して、男女2人にそれぞれ2万円ずつ、定価の2倍以上で転売しました。 https://news.yahoo.co.jp/articles/d188f844d01ceec7df7a108c2f7eb5903ec395e9次の事例では、男性2人が旧ジャニーズ事務所のアイドルグループ「ジャニーズWEST」の約8,000人分のファンクラブアカウントを作成し、コンサートチケットを不正に入手して転売したものです。このようなニュースは日々報道がなされ、枚挙にいとまがありません。 2.法的な取り締まりの限界 チケット不正転売禁止法とは? 摘発事例として紹介した「ダフ屋行為」を取り締まる条例は、以前から各都道府県で制定されていました。2019年6月14日には「特定興行入場券の不正転売の禁止等による興行入場券の適正な流通の確保に関する法律」(以下「チケット不正転売禁止法」※通称)が施行され、インターネット上での高額転売も禁止されました。 「チケット不正転売禁止法」は、国内で行われる映画、音楽、舞踊などの芸術・芸能やスポーツイベントのチケットに関する法律です。この法律では、「特定興行入場券」と呼ばれる特別なチケットの不正転売を禁止しています。 「特定興行入場券」とは、興行主の同意のない有償譲渡を禁止する旨が明示された座席指定等がされたチケットのことです。 チケット不正転売禁止法で禁止される行為は主に次の2つです。 特定興行入場券(チケット)を不正に転売すること 不正転売を目的として、特定興行入場券(チケット)を購入すること 悪意のある転売を見極める難しさ 悪意のある転売なのか、それともたまたま事情によりチケットを手放さざるを得ないのかを見極めることは非常に困難です。例えば、同一人物が複数のアカウントを使用して高額で何度も商品を販売する場合、不正転売に該当する可能性が高いですが、一回限りの販売ではそうとは限りません。 また、消費者サイドの問題として、高額でも商品を購入する人がいるため、市場が成立してしまっているという問題も存在します。不利益を被ったと被害を訴える人が少なく、転売の問題が表面化しにくい状況が出来上がっているのです。 運営サイドでは、転売問題へ厳格に対応する守りのシステムや人的リソースにコストを投じることには消極的になりがちで、全てを取り締まることは現実的ではありません。 不正転売者、消費者、運営者、それぞれの思惑が絡み合い、転売市場は拡大し続けています。 3.技術的な取り締まりの限界 多重アカウント登録が可能な理由 1人で複数のアカウントを取得できてしまうことが、不正転売の温床となっています。どのような抜け道が存在しているのか一例を紹介していきます。 架空の個人情報での登録多くのシステムでは、名前、住所、電話番号、メールアドレスといった基本的な個人情報を入力するだけでアカウントを作成可能です。情報が本物であるかどうかを厳密に確認するプロセスが脆弱で、名前や住所、電話番号が架空のものであっても登録が通ってしまうため、同一人物が異なる情報を使って複数のアカウントを作成できる場合があります。 フリーメールサービスの利用インターネット上にはGmailやYahoo!メールなどのフリーメールサービスが多数存在し、これらを利用すれば新しいメールアドレスを何度でも作成できてしまいます。フリーメールアドレスは匿名性が高く、誰が作成したかを追跡することが困難です。 使い捨てSMSサービスSMS認証を採用しているシステムでも、使い捨て電話番号サービスを利用すれば複数のアカウントを作成可能です。インターネット上で簡単にアクセスでき、一時的に有効な電話番号が提供されます。不正転売者はこの番号を使って認証コードを受け取り、複数のアカウントを作成することができるのです。 本人確認手段の限界 多重アカウント登録への抜け道を防ぐことはなぜ難しいのでしょうか。ここでは技術的な観点から、限界点について深堀りしていきます。 メール認証の課題メール認証は、ユーザーが提供したメールアドレスに認証コードを送信し、そのコードを入力させることで本人確認を行う方法です。しかし、インターネット上には多数のフリーメールサービスが存在し、同一人物が異なるメールアドレスを使って何度でもアカウントを作成することが可能です。 SMS認証の課題SMS認証では、ユーザーが提供した電話番号に認証コードを送信し、そのコードを入力させることで本人確認を行います。市場には使い捨ての電話番号サービスが存在するため、電話番号を持っていないユーザーでも複数のアカウントを作成することが可能です。同じ電話番号を使い回すこともできるため、SMS認証も完全な解決策にはなり得ません。 二要素認証の課題二要素認証は、通常のパスワードに加えて、もう一つの認証要素を使用することでセキュリティを強化する方法です。導入コストが高く、ユーザーの利便性が低下しがちです。特に、スマートフォンを持っていないユーザーや技術に不慣れなユーザーにとっては利用が難しい場合があります。 不正検知の限界とコスト 不正行為は常に進化を続けています。不正検知システムも、不正行為の進化に合わせて絶えずアップデートが必要ですが、全ての不正行為を100%検知することは現実的ではありません。...
進化するフィッシング詐欺:AI技術を駆使した巧妙な手口と対策
AI技術の飛躍的な進歩に伴い、フィッシング詐欺の手口も一層巧妙化しています。例えば、従来のフィッシングメールは単純な詐欺文が多かったものの、現在では文法的に正確で自然な文章が生成され、受信者を騙す手法が高度化しています。進化する脅威に対し、企業はどのようにして防御策を講じるべきでしょうか。本記事では、巧妙化するフィッシング詐欺の手口と、その対策について詳しく解説します。 1.AI技術によるフィッシング詐欺の巧妙化 フィッシングメールの認知や、一定の対策がユーザーの間に広まった一方で、フィッシングメールもAIの登場により劇的な進化を遂げました。本節では、フィッシングの手法が具体的にどのように進化しているのかについて詳しく解説します。 AIによるフィッシングメールの生成 従来のフィッシングメールには明らかな誤りやスペルミスが多く、容易に見破ることができました。現在ではAIを活用し、まるで人が書いたかのような人間らしい文章が生成されるため、受信者に対する信憑性が飛躍的に向上しています。これは、AIが大量のデータを分析し、適切な言葉遣いや表現を学習することにより実現されています。 AIによって生成されたフィッシングメールは、文章としての正確さに加えて、より自然な言い回しと正規のメールの口調を模倣できるため、一見すると正規の企業や個人から送られてきたもののように見えるほどの精巧さです。 ターゲットを狙った個別化の向上 AIの活用により、SNSやインターネット上に公開されている情報を収集し、フィッシングメールにターゲットの関心や趣味に合わせた内容を織り込めます。ターゲットの過去のメールや通信パターンを学習し、そのスタイルやトーンを模倣することまで可能です。 例えば、ターゲットの名前や職務内容から、個々に宛てた形式にするとともに、過去に特定の企業と取引をしていた場合、その企業名や取引内容に関する情報をメールに含めることで、受信者はそのメールが正当なものであると錯覚しやすくなります。 フィッシング攻撃の自動化 AIはターゲットのメールアドレスを収集し一斉送信を行います。テンプレートを自動生成し、それぞれのテンプレートを個別のターゲットに合わせてカスタマイズまで行います。数千、数万件のフィッシングメールを短時間で作成・送信でき、その規模と速度は企業や個人にとって大きな脅威です。 さらに、送信後のメールの効果をAIに分析させ、精度を向上することが可能です。例えば、どのメールが開封され、どのリンクがクリックされたのかといったデータを収集し、それに基づいて次の攻撃をより効果的にするための調整を行います。このようにして、フィッシング攻撃は継続的に改善され、ますます高度で巧妙な手法が生まれる仕組みとなっています。 ソーシャルエンジニアリングの強化 ソーシャルエンジニアリングとは、人間の心理や行動を巧みに利用して情報を引き出す技術です。AIは、ターゲットのオンライン行動やソーシャルメディアでの活動を分析し、その人の興味や関心、行動パターンを把握します。得た情報をもとに、ターゲットが反応しやすい内容や状況を巧みに作り上げ、説得力のあるフィッシングメールを生成する仕組みです。 ターゲットの人間関係から、信頼できる人物になりすましてメールを送ることも可能です。同僚や友人の言葉遣いやコミュニケーションスタイルを模倣することで、ターゲットはメールの信憑性を疑うことなく、情報を提供してしまう可能性が高まります。 検出回避技術の進化 従来のフィッシングメールは、スパムフィルターやセキュリティシステムによって比較的容易に検出されていましたが、AIを活用することで、防御策を回避する手法がますます洗練されてきています。 AIは、セキュリティシステムの検出アルゴリズムを学習し、その弱点を見つけ出すことができるのです。フィッシングメールのテンプレートを複数作成し、それぞれに微妙な変更を加えることで、検出されにくいメールを大量に生成したり、ネットワークトラフィックの分析を行い、通常の通信パターンに合わせてフィッシングメールを送信することで、検出されにくくしたりしています。 2. 巧妙なフィッシングメールの事例 では、巧妙なフィッシングメールの具体的な事例を見ていきましょう。ここでは、大手企業を標的にしたフィッシングメールを取り上げます。多くの犯罪者たちが、有名企業の信頼性を悪用し、ユーザーを騙そうとしています。これらの事例から、AIを悪用したフィッシング詐欺がどれほど高度化しているか実感を持っていただけるでしょう。 楽天銀行を装った事例 楽天銀行を騙り、ATMで入金取引があったことを知らせ、ログインを促すフィッシングメールです。いくつかのリンクがメールに貼られており、一番上以外は全て本物の楽天銀行のサイトへ飛ぶ仕組みです。 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? フィッシングサイトはID・PASSを登録するフォームですが、作りは精巧そのもので、URLが不自然な点以外、見分けがつきません。ログインすると、楽天の本物のサイトへ遷移します。 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? 通常は名前やメールアドレスなどの個人情報、クレジットカード番号などをフィッシングサイトで取得しますが、今回のフィッシング詐欺はシンプルにID・PASSのみを抜き取ることを目的としています。個人情報がなくともID・PASSさえあれば、個人情報の取得など悪用できることも多いため、シンプルな罠で最大限の被害を狙ったものと言えます。 ヤマト運輸を装った事例 続いて、ヤマト運輸の事例です。「お荷物お届けのお知らせ」というタイトルで、ヤマト運輸を装ったメールが送られてきます。出典:弁護士JPニュース急増「フィッシング詐欺」なぜ引っかかる?...
本人確認書類の偽造は簡単な時代に?eKYCの問題点と対策について
2024年4月、日本信用情報機構(JICC)が偽造された本人確認書類を用いたなりすましに対して信用情報を開示してしまったインシデントは、近年急速に普及が進むオンライン上での本人確認、eKYC(electronic Know Your Customer)の課題を浮き彫りにしました。本記事では、eKYCの基本的な仕組みから限界点、そしてその対策までを分かりやすく解説していきます。 スマホアプリを使ったなりすましを見破れずに情報開示 2024年4月1日、日本信用情報機構(JICC)は、偽造された本人確認書類を使用した申し込みに対して個人信用情報を開示したとして謝罪しました。スマホアプリを使ったなりすましに対して16件の開示が確認されています。 2024年3月の最終週に、偽造書類が使われた数件の申し込みを見抜き情報開示を防ぐことができました。ところが、過去の申し込みを遡って調査した結果、16件の偽造書類による情報開示が判明。不正開示された情報には、本人の特定や契約に関する情報が含まれていました。 2024年3月28日に不正が発覚し、JICCはサービスを停止。4月5日に機能改修を行い再開しました。再開後はクレジットカードによる本人認証を導入し、対応できないユーザーには郵送で対応するといった解決策に至っています。 eKYC(electronic Know Your Customer)とは? スマートフォンの普及に伴い、オンライン上での本人確認へのニーズが高まっています。ここでは、代表的な手段として普及が進むeKYCの基本的な仕組みと、そのメリットを解説していきます。 eKYCの本人確認の仕組み eKYCの本人確認手続は、大きく「身元確認」と「当人認証」で構成されています。 身元確認では、本人特定事項(氏名、住所、生年月日など)が記載された証明書(免許証、パスポート、健康保険証など)を提示し、その住所に実際に居住していることを確認します。これにより、その人物の身元が証明されます。 当人認証は、提示された証明書に記載されている人物が、実際に契約を行う本人であることを確認するプロセスです。eKYCでは生体認証と呼ばれる仕組みを利用しており、身分証に印刷された顔写真と契約者の顔を見比べることで、本人であることを確認します。 スマートフォンのカメラを使って本人確認書類と契約者の顔をリアルタイムで撮影することで、身元確認と当人認証の両方を同時に実行する仕組みです。 eKYCのメリット eKYCのメリットは、紙ベースの本人確認の仕組みと比較して、本人確認時間の大幅な短縮や人件費の削減を実現できることなどが挙げられます。 AIを活用した認証システムにより、リアルタイムでの本人確認が可能になり、従来の紙ベースのプロセスでは数週間かかる手続きが最短即日で完了します。 例えば、従来の方法では運転免許証のコピーを郵送する手間がかかりますが、eKYCではスマホで身分証明書と顔を撮影してアップロードするだけです。 事業者側でも、紙ベースの本人確認では書類の仕分け、内容確認、データ入力、保管など多くの手作業が必要ですが、eKYCでは作業を自動化・省力化することもでき、ヒューマンエラーのリスクも軽減されます。 eKYCの問題点 eKYCによってもたらさせるメリットは様々ですが、一方で課題も存在します。冒頭に紹介したようなインシデントも発生しており、限界点を理解することが重要です。 偽造書類を見抜く技術的な課題 現在のeKYCシステムは、高度な画像解析技術やAIを用いて偽造書類の検出を試みていますが、偽造技術も同時に進化しています。なりすましのリスクを完全に排除することは不可能です。 最近ではマイナンバーカードを含む偽造書類の製造工場が摘発される事例も多く報じられており、高度な偽造書類が市場に出回っています。中にはWebサイトを開設し、偽造書類の作成を請け負う業者まで出てきている始末です。今や誰でも簡単に偽造書類を入手できる時代になっているのです。 個人情報を保存することによるデータ漏洩リスク eKYCの利用には、個人情報の保存に伴うデータ漏洩リスクが大きな課題として存在します。ユーザーの個人情報や生体データがデジタル形式で保存されるため、不正アクセスやサイバー攻撃の標的になりやすいです。...
SIMスワップ詐欺を認証で防ぐ!スマホの安全性を脅かす新たな手口の対策方法
SIMスワップ詐欺とは何か? SIMスワップ詐欺は、詐欺師が被害者のSIMカードを勝手に再発行し、その電話番号を乗っ取る犯罪です。これにより、スマートフォンのコントロールを完全に奪われるため、金銭的損害はもちろん、個人情報の漏洩にもつながります。 詐欺の具体的な手法 詐欺師はまず、偽造された身分証明書(最近はマイナンバーカードが使われることが多い)を使用して携帯ショップに行き、被害者の携帯電話のSIMカードを再発行します。この再発行により、詐欺師は被害者の電話番号にアクセスし、SMS認証を含む一切の通信を掌握することが可能になります。 被害の事例 最近の事例では、ある市議会議員のスマートフォンが「圏外」になり、その原因が偽造マイナンバーカードによる不正な機種変更だったことが発覚しました。この操作により、彼のスマートフォンを使った約17万円分のキャッシュレス決済が悪用されました。 SIMスワップ詐欺を防ぐための対策 SMSではなく、認証アプリやトークンデバイスを用いた二要素認証を活用する。 SIMカードにPINを設定し、盗難や不正使用を防ぐ。 携帯電話会社のサービスにログインする際、メールでの通知を受け取る設定にし、不審な活動に迅速に対応できるようにする。 定期的にSIMが無効化されていないかを確認し、異常が見られた場合は直ちに携帯電話会社に連絡し、SIMの停止を依頼する。 *SMS認証など入力型(ワンタイムパスワード)はSINスワップ詐欺を防げない Infront Securityのメリット Infront Securityは、電話番号と端末情報を組み合わせた画期的な認証サービスです。ユーザーはパスワードを覚える必要がなく、煩雑なアカウント管理も不要です。 初回ログイン時には、専用ダイヤルにワンタップで接続し、その後は同じ端末からのアクセスであれば、端末情報に基づいて電話番号のIDだけで簡単に再認証できます。 インターネットと電話網を併用することで、二要素認証を実現し、高度なセキュリティを保ちつつユーザー体験を向上させています。 ユーザーが入力した番号と発信した番号が一致する場合のみ認証が通るため、偽造や盗聴が非常に困難です。認証プロセスはワンタップで完了し、通話は照合後自動的に切断されるため、利便性とセキュリティが両立されています。 さらに、特別なアプリのインストールを必要とせず、インターネット接続が不安定な環境でも機能するため、どこでも安全かつ簡単にアクセスできる点もメリットです。 SIMスワップ詐欺に対するInfront Securityの有効性 Infront Securityは、SIMスワップ詐欺に対して非常に有効な認証サービスです。従来の電話認証に加え、本人の元のスマートフォンの端末情報が必要です。これにより、詐欺師が端末を不正に変更しても、認証時に端末が異なることを正確に判別でき、SIMスワップ詐欺を確実に防ぐことができます。 他の電話認証サービスでは、単に電話番号の検証のみを行うため、SIMカードが詐欺師によって再発行された場合、その認証を突破されるリスクがあります。しかし、Infront Securityは端末情報を活用することで、このリスクを排除します。 そのため、Infront Securityは、SIMスワップ詐欺に対する防御において他のサービスと比較して圧倒的な優位性を持っており、唯一無二の解決策を提供します。これにより、ユーザーのプライバシーと資産を効果的に保護することができます。
