コラム
SMS認証の脆弱性を徹底解説:二要素認証が簡単に突破される時代に事業者が取るべき対策とは
SMS認証は、その利便性と低コストから多くのオンラインサービスで広く採用されていますが、同時にその脆弱性を突いた詐欺被害も拡大しています。リアルタイムフィッシングやSIMスワップといった、従来の二要素認証をも簡単に突破する最新の手口も登場しています。さらに、使い捨て電話番号やSMS認証代行業者を悪用して、本人になりすます事例も増えてきており、注意が必要です。本記事では、SMS認証の脆弱性とその背景を詳しく解説し、事業者が取るべき具体的な対策について紹介します。 1. SMS認証を突破される被害が急増 被害の実態 二要素認証は、パスワードなどの知識に加えて、別の認証要素を組み合わせて行うセキュリティ手法で、これまでは比較的強固な認証方式とされてきましたSMS認証はユーザーの携帯電話にワンタイムパスワードを送信し、それをユーザーが入力することで本人確認を行うため、非常に便利です。このため、多くのサービスでSMS認証が二要素認証の一環として使用されています。 しかし、このSMS認証が、フィッシング詐欺のターゲットとなり、その安全性が揺らいでいます。2019年以降、特にネットバンキングに関連した不正送金やアカウント乗っ取りが大幅に増加しました。警視庁によると、2023年にはフィッシング被害件数が5,147件、被害額は約80.1億円に達し、これまでにない規模の被害が確認されています。 背景には二要素認証を突破する手口が確立され、従来のセキュリティ対策が無力化されていることが挙げられます。 SMS認証の普及とその限界 SMS認証が広く普及した背景には、利便性とコストの低さが大きく関わっています。携帯電話の普及に伴い、SMSは誰もが利用可能なツールとなり、特別なアプリケーションやデバイスを必要とせず、すぐに導入できる点が大きな魅力でした。さらに、SMS認証は、既存のモバイルネットワークを活用するため、技術的な導入コストも比較的低く抑えられるため、多くのサービスで二要素認証の一環として採用されました。 ユーザーにとっても、普段使っている携帯電話で手軽に認証が行えることから、複雑な手続きなしにセキュリティを強化できるという利便性が高く評価されています。オンラインバンキングやEコマース、SNSアカウントといった広範な分野で、安全性を向上させる手段としてSMS認証が広く利用されるようになりました。 SMS認証は、技術的なハードルが低く、ユーザー体験を向上させながらも、一定のセキュリティを提供することから、迅速に普及してきたのです。 しかし、こうした利便性の裏には重大な脆弱性が潜んでいます。SMS自体が暗号化されていないため、通信経路上でメッセージが盗まれるリスクがあります。もし攻撃者がこのメッセージを傍受すると、送信されたワンタイムパスワードを簡単に読み取り、悪用することが可能です。 セキュリティを強化するはずの仕組みが、実は攻撃者にとって格好の標的となってしまう場合もあるため、SMS認証は「諸刃の剣」とも言える存在です。近年登場したリアルタイムフィッシングやSIMスワップなど、SMS認証を簡単に突破する詐欺手法も広がっており、SMS認証の有効性が急速に薄れてきています。 2. マルウェアによるなりすまし リアルタイムフィッシング詐欺とは リアルタイムフィッシングの仕組み リアルタイムフィッシングは、ユーザーが偽のログインページに騙されていることに気づかない高度な詐欺手法です。攻撃者は、正規サイトに酷似した偽のログインページを作成し、ユーザーをそこに誘導します。ユーザーは正規サイトだと信じてログイン情報や認証コードを入力しますが、その情報はリアルタイムで攻撃者に転送されます。 攻撃者は、ユーザーの入力した情報を即座に利用して、正規のサイトにログインします。この間、ユーザーは自分が偽サイトにアクセスしていることに気づかず、通常のログイン操作を行っていると感じています。ユーザーが入力を終えると同時に、攻撃者は既にアカウントにアクセスしており、場合によってはアカウントの設定を変更したり、不正送金を行うこともあります。 この攻撃手法では、ユーザーと攻撃者が同時に行動するため、検出が非常に困難であり、被害が瞬時に発生します。リアルタイムでの攻撃が行われるため、被害者はログイン後すぐには異変に気づかないことがほとんどです。 なぜSMS認証では防げないのか SMS認証で使われるコードは、短時間しか有効ではなく、その間にユーザーがコードを入力することで本人確認を行います。しかし、リアルタイムフィッシングでは、ユーザーがコードを入力したその瞬間に情報が攻撃者に渡ります。攻撃者は、この短い時間内にリアルタイムで正規サイトにログインし、認証コードを使用して不正にアクセスします。 ここでの問題は、SMS認証が時間に依存している点です。認証コードが短時間しか有効でないからこそ安全だと考えられていましたが、リアルタイムで攻撃者がその短い時間内に動くと、このセキュリティの仕組みが無力化されてしまうのです。 3. 人的ななりすまし操作 SIMスワップ詐欺とは SIMスワップ詐欺の仕組み SIMスワップ詐欺は、攻撃者がターゲットの携帯電話番号を不正に取得し、被害者のアカウントにアクセスする手口です。まず、攻撃者はターゲットの個人情報を集めます。個人情報には被害者の名前、住所、電話番号、生年月日などが含まれ、フィッシングメールや他の不正手段で取得されることが多いです。 次に、攻撃者は携帯電話のキャリア会社に連絡し、ターゲットになりすまして「SIMカードの交換」を要求します。攻撃者は、被害者が電話やSMSを受信できないようにし、新しいSIMカードを自分のデバイスに挿入します。これにより、攻撃者は被害者の電話番号に紐づけられたすべてのメッセージや認証コードを受け取ることが可能となります。 攻撃者は、新たなSIMカードを使ってSMS認証を突破し、被害者のオンラインバンキングやSNSなどのアカウントにログインし、不正アクセスや資金移動を行う流れです。...
お知らせ一覧
急増するマッチングアプリ詐欺被害への本人認証対策
急成長を遂げるマッチングアプリ市場。その利便性を悪用した詐欺被害が深刻化しており、政府も規制強化やマイナンバーカード活用の推進に動き出しています。しかし、従来の本人認証手段では防ぎきれない巧妙な手口が増加しており、新たな対策が必要です。本記事では、最新の詐欺事例、現行の認証技術の課題、事業者に向けた解決策を紹介します。 1.マッチングアプリ詐欺被害の実態 マッチングアプリ市場の拡大 マッチングアプリ市場は、近年急速に拡大しています。株式会社タップルの調査によれば、2021年の市場規模は768億円で、2026年には1,657億円に達するとの予測です。大手アプリ「Pairs」は累計1,500万人以上の会員を抱え、100万人超の利用者がいるサービスも多数存在します。 拡大の背景には、メディアでの露出増加による認知度向上や、新規参入のハードルが低いことが挙げられます。 特に、コロナ禍を機にオンラインでの出会いが広がり、今では若年層に限らず、幅広い年代が利用するようになっています。さらに、低価格な月額料金や無料プランの提供により、手軽に試しやすいことも市場の成長を支えている要因です。 マッチングアプリ詐欺被害の急増 マッチングアプリの利用増とともに詐欺被害が増加の一途をたどっています。 利用者がアプリを通じて知り合った相手と、直接会うことなくメッセージを重ねるうちに、親密さや恋愛感情を抱き、最終的に金銭などを騙し取られる事例が後を絶ちません。「警察庁・SOS47特殊詐欺対策ページ」によると、こうした被害に遭うのは男性が約6割、女性が約4割で、男女を問わず被害が広がっています。詐欺師がターゲットと接触する手段として最も多く利用しているのはマッチングアプリであり、SNSよりも高い割合を占めています。 さらに、実際に金銭被害に遭わなくても、マッチングアプリを通じてネットワークビジネスや投資の勧誘、金銭の貸し出し依頼を受けるなど、詐欺に巻き込まれそうになるケースも数多く報告されています。 マッチングアプリ詐欺の被害事例 以下は国民生活センターに寄せられた詐欺被害の事例です。オンラインでのやり取りでは相手の身元確認が不十分だとリスクが高く、また相手の足取りを確認しづらいため、問題が発生した際に追跡が困難になる点に留意が必要です。 ケース1 マッチングアプリで日本在住のワイン輸入業者の役員を名乗るイギリス人男性と知り合い、無料メッセージアプリで連絡を取り合うようになりました。彼は「結婚後に資金を出し合って投資しよう」と提案し、ユーザーは暗号資産を130万円、さらに男性に会うために追加で40万円を送金しました。その後、「新型コロナに感染したので会えない」と連絡があり、翌月にも追加の送金を求められ、20万円を送った後、男性との連絡が途絶えました。 ケース2 マッチングアプリで知り合った中国人女性に、FX取引で儲けていると勧められ、彼女の指示でスマホに取引アプリをインストールしました。アドバイザーと称する人物とも連絡を取り、まず10万円、その後さらに200万円を国内の外国人名義の口座に振り込みました。アプリ内で利益が出ているのを確認し、出金を依頼しましたが、返信が来なくなりました。 2.現状の本人認証における課題 eKYCの課題 マッチングアプリでは近年、eKYC(electronic Know Your Customer、電子的な本人確認)を採用し、アプリ利用者の身元確認を行っています。eKYCは、利用者が身分証明書の写真を提出し、顔認証やAIによる照合を行うことで、迅速かつ効率的に本人確認を完了する仕組みです。 現在のeKYCシステムは、高度な画像解析技術やAIを用いて偽造書類の検出を試みていますが、偽造技術も同時に進化しています。結局のところ、画像そのものは匿名であり本人確認の信頼性がなく、なりすましのリスクを完全に排除することは不可能です。 最近ではマイナンバーカードを含む偽造書類の製造工場が摘発される事例も多く報じられており、高度な偽造書類が市場に出回っています。中にはWebサイトを開設し、偽造書類の作成を請け負う業者まで出てきている始末です。今や誰でも簡単に偽造書類を入手できる時代になっているのです。 政府はマイナンバーカードの活用を推進 2024年9月13日、河野太郎デジタル大臣は、恋愛マッチングアプリでのロマンス詐欺を抑止するため、本人確認にマイナンバーカードを活用するよう働きかける方針を示しました。デジタル庁と警察庁がマッチングアプリ事業者団体に要請し、ICチップ読み取りや公的個人認証サービスの利用で、安全性や信頼性が向上することを強調しました。 ICチップの読み取りに対応するなどすれば、現在よりも安全性は一定程度高まるものの、依然として課題は存在します。 電子証明書には「4桁の暗証番号」が必要 マイナンバーカードの電子証明書は、カード内のICチップに記録されており、オンラインでの本人確認や行政手続きに活用される機能です。これにより、公的個人認証サービスなどを通じて、インターネット上で安全に身元確認が行え、電子申請や証明が可能となります。 電子証明書を利用する際には「4桁の暗証番号」が必要ですが、この暗証番号が漏えいすると、カードの現物が他人に奪われた場合には、悪用されるリスクが生じます。カードを安全に保管することはもちろん、暗証番号は誕生日など簡単に推測されないものに設定し、他人に知られないよう十分注意する必要があります。...
お知らせ一覧
パスワード認証の限界とパスワードレス認証の未来:セキュリティと利便性の両立
これまで幅広く採用されてきたパスワード認証ですが、パスワード漏洩のインシデントは後を絶ちません。パスワード認証では、セキュリティを強化しようとするとユーザーの離脱率が上昇するというジレンマに直面します。本記事では、パスワード認証の課題を検証し、今後主流となるパスワードレス認証の仕組みや、そのメリット・デメリットを解説していきます。 1.相次ぐパスワード漏洩インシデント マルカワ味噌の不正アクセス事例 味噌の製造・販売を行うマルカワみそは、2024年4月2日に同社の通販サイト(ECサイト)への不正アクセス被害を発表しました。この不正アクセスにより、約8万9673人分の顧客個人情報と5447件のクレジットカード情報が漏洩した可能性があるとされています。発覚のきっかけは、2023年11月6日にクレジットカード会社からマルカワみそに対してクレジットカード情報の漏洩懸念の連絡があったことでした。 さらに、2024年5月7日に追加の情報が公開され、ECサイトのマイページにログインするためのパスワードも漏洩した可能性があることが明らかになりました。パスワードを記載したファイルが外部に漏洩した可能性があり、これにより2023年11月6日までにマイページ登録を行った2万606人のユーザーが影響を受けるとされています。 パスワードファイルに記載されていたパスワードが平文であったかどうかなどの詳細は説明されていませんが、同社は他社サービスで同じパスワードを使用している場合は、念のため他社サービスのパスワードを変更するよう顧客に呼びかけています。 パスワード漏洩によるリスク マルカワみそのようなパスワード漏洩インシデントは枚挙にいとまがありません。パスワードが漏洩することによりどのような脅威が生じるのでしょうか。 まず、漏洩したパスワードが悪意のある第三者の手に渡ると、アカウントへアクセスされ、直接的に個人情報を取得したり、不正利用したりするリスクが高まります。特に、同じパスワードを複数のサービスで使いまわしている場合、一つのサイトでの漏洩が連鎖的に他のサービスにも影響を及ぼすことがあります。「リスト型攻撃」と呼ばれ、非常に深刻な問題です。 さらに、攻撃者は取得したパスワードを用いて他のアカウントに不正アクセスを試みることができます。例えば、メールアカウントに不正アクセスされると、そこから他のサービスのパスワードリセットリンクを取得し、さらに多くのアカウントにアクセスできるようになる可能性があります。 また、攻撃者は、漏洩したパスワードを使ってユーザーになりすまし、他の人々を騙してさらに多くの情報を取得しようとするかもしれません。 企業にとっても、パスワード漏洩は重大な問題です。顧客の信頼を失うことは、ビジネスにとって致命的です。顧客はセキュリティ対策が不十分な企業を避けるようになり、結果として売上の減少やブランドイメージの損失につながることがあります。 2.セキュリティの強化とドロップ率のジレンマ パスワード認証を強化する方法そのものは存在します。ただし、ユーザー体験が低下し、ドロップ率が上昇するというデメリットが顕著です。 パスワードの複雑化 具体的なパスワードの複雑化の手段としては、最低でも8文字以上、アルファベットの大文字と小文字、数字、特殊文字(!、@、#、$など)の組み合わせを要求することが一般的です。同じパスワードの再使用を禁止し、定期的にパスワードの変更を促すケースも散見されます。 複雑なパスワードは、予測されにくく、攻撃者からアカウントを守る効果があることは間違いありません。しかし、多くのユーザーは長く複雑なパスワードを覚えることに困難を感じ、結果としてパスワードを忘れやすくなります。 パスワードリセットの頻度が増え、ユーザーのログイン成功率が低下し、最終的にはサービス利用のドロップ率が上昇するデメリットが同時に存在します。 パスワード管理の煩雑さ サービスごとに異なるパスワードを設定することが求められますが、複数のパスワードを管理することはユーザーにとって大きな負担です。 多くの人がブラウザの自動保存機能を利用していますが、これにはリスクを伴います。例えば、他人がデバイスへ物理的にアクセスした場合、保存されたパスワードが簡単に盗まれてしまうのです。マルウェアに感染した場合も、保存されたパスワードが流出する危険があります。 パスワードの変更や更新も煩雑さを増す要因です。多くのサービスは定期的なパスワード変更を推奨しており、管理しているパスワードを都度最新の状態に更新する必要があります。 パスワード管理の煩雑さを軽減するために、パスワードマネージャーが推奨されることも多いですが、リテラシーが低い高齢者などには使いこなすのが難しい場合があります。 複雑な認証方法 認証方法を複雑化することは、セキュリティを強化する手段の一つです。例えば、二段階認証では、パスワードに加えてSMSによる確認コードの送信、専用アプリによるワンタイムパスワードの生成、またはハードウェアトークンの利用などがあります。 これらの追加手順は、確かにセキュリティを大幅に向上させますが、ユーザーにとっては手間が増え、ログインに時間がかかる原因となります。一部の技術に不慣れなユーザーにとっては、認証手順を理解することすら難しい場合があります。 結果として、セキュリティは強化されたものの、サービスの利用が避けられてしまうというジレンマに陥ってしまうのです。 3.今後はパスワードレス認証が主流へ パスワードの複雑化や管理の煩雑さに対処するため、パスワードレス認証が注目されています。ユーザーがパスワードを覚える必要がなく、よりシンプルで安全な認証方法です。ここでは、パスワードレス認証の代表的な手段の1つである、パスキー認証について解説していきます。 パスキー認証の仕組みとメリット...
お知らせ一覧
本人確認書類の偽造は簡単な時代に?eKYCの問題点と対策について
2024年4月、日本信用情報機構(JICC)が偽造された本人確認書類を用いたなりすましに対して信用情報を開示してしまったインシデントは、近年急速に普及が進むオンライン上での本人確認、eKYC(electronic Know Your Customer)の課題を浮き彫りにしました。本記事では、eKYCの基本的な仕組みから限界点、そしてその対策までを分かりやすく解説していきます。 スマホアプリを使ったなりすましを見破れずに情報開示 2024年4月1日、日本信用情報機構(JICC)は、偽造された本人確認書類を使用した申し込みに対して個人信用情報を開示したとして謝罪しました。スマホアプリを使ったなりすましに対して16件の開示が確認されています。 2024年3月の最終週に、偽造書類が使われた数件の申し込みを見抜き情報開示を防ぐことができました。ところが、過去の申し込みを遡って調査した結果、16件の偽造書類による情報開示が判明。不正開示された情報には、本人の特定や契約に関する情報が含まれていました。 2024年3月28日に不正が発覚し、JICCはサービスを停止。4月5日に機能改修を行い再開しました。再開後はクレジットカードによる本人認証を導入し、対応できないユーザーには郵送で対応するといった解決策に至っています。 eKYC(electronic Know Your Customer)とは? スマートフォンの普及に伴い、オンライン上での本人確認へのニーズが高まっています。ここでは、代表的な手段として普及が進むeKYCの基本的な仕組みと、そのメリットを解説していきます。 eKYCの本人確認の仕組み eKYCの本人確認手続は、大きく「身元確認」と「当人認証」で構成されています。 身元確認では、本人特定事項(氏名、住所、生年月日など)が記載された証明書(免許証、パスポート、健康保険証など)を提示し、その住所に実際に居住していることを確認します。これにより、その人物の身元が証明されます。 当人認証は、提示された証明書に記載されている人物が、実際に契約を行う本人であることを確認するプロセスです。eKYCでは生体認証と呼ばれる仕組みを利用しており、身分証に印刷された顔写真と契約者の顔を見比べることで、本人であることを確認します。 スマートフォンのカメラを使って本人確認書類と契約者の顔をリアルタイムで撮影することで、身元確認と当人認証の両方を同時に実行する仕組みです。 eKYCのメリット eKYCのメリットは、紙ベースの本人確認の仕組みと比較して、本人確認時間の大幅な短縮や人件費の削減を実現できることなどが挙げられます。 AIを活用した認証システムにより、リアルタイムでの本人確認が可能になり、従来の紙ベースのプロセスでは数週間かかる手続きが最短即日で完了します。 例えば、従来の方法では運転免許証のコピーを郵送する手間がかかりますが、eKYCではスマホで身分証明書と顔を撮影してアップロードするだけです。 事業者側でも、紙ベースの本人確認では書類の仕分け、内容確認、データ入力、保管など多くの手作業が必要ですが、eKYCでは作業を自動化・省力化することもでき、ヒューマンエラーのリスクも軽減されます。 eKYCの問題点 eKYCによってもたらさせるメリットは様々ですが、一方で課題も存在します。冒頭に紹介したようなインシデントも発生しており、限界点を理解することが重要です。 偽造書類を見抜く技術的な課題 現在のeKYCシステムは、高度な画像解析技術やAIを用いて偽造書類の検出を試みていますが、偽造技術も同時に進化しています。なりすましのリスクを完全に排除することは不可能です。 最近ではマイナンバーカードを含む偽造書類の製造工場が摘発される事例も多く報じられており、高度な偽造書類が市場に出回っています。中にはWebサイトを開設し、偽造書類の作成を請け負う業者まで出てきている始末です。今や誰でも簡単に偽造書類を入手できる時代になっているのです。 個人情報を保存することによるデータ漏洩リスク eKYCの利用には、個人情報の保存に伴うデータ漏洩リスクが大きな課題として存在します。ユーザーの個人情報や生体データがデジタル形式で保存されるため、不正アクセスやサイバー攻撃の標的になりやすいです。...
お知らせ一覧
パスワードレス認証システムのメリットとデメリット
はじめに パスワードレス認証システムは、セキュリティと利便性の向上を目指して急速に普及しています。この記事では、パスワードレス認証の主要なメリットとデメリットを解析し、その適用可能性について考察します。 パスワードレス認証システムのメリット 利便性の向上: ユーザーは複雑なパスワードを覚える必要がなくなり、ログインプロセスが簡素化されます。 セキュリティの強化: パスワードの盗難やリセットが不要になるため、セキュリティリスクが減少します。 アクセス管理の改善: 生体認証やトークンなど、より個人に特化した認証方法により、アクセス管理が向上します。 パスワードレス認証システムのデメリット 技術的な課題: 生体認証などの高度な技術が必要であり、システム導入には初期投資が伴います。 プライバシーの懸念: 生体情報の収集と保管は、プライバシーに関する懸念を引き起こす可能性があります。 互換性の問題: 既存のシステムやプラットフォームとの互換性がない場合があります。 パスワードレス認証の実装 パスワードレス認証システムの導入には、次の要素を考慮する必要があります。 適切な認証技術の選定: 組織のニーズに合った認証技術を選ぶことが重要です。 プライバシー保護の確保: ユーザーの個人情報を安全に保管し、プライバシーを尊重する必要があります。 システムの継続的な評価: 新しいセキュリティ脅威に対応するために、システムを定期的に評価し改善することが不可欠です。 Infront Securityはパスワードレス認証の最適解! 最後に、パスワードレス認証の導入において、Infront Security(電話端末認証)は特に注目に値します。この方法は、ユーザーが既に所有しているスマートフォンや電話を利用するため、導入が容易であり、多くの利点を提供します。以下に、その主要なメリットを挙げます。 導入と連携の簡素化: 既存のシステムやプラットフォームとの統合が容易です。ユーザーは追加のハードウェアを購入する必要がなく、すでに持っているデバイスをそのまま利用できます。 プライバシーの保護:...
お知らせ一覧
IoTデバイスのセキュリティ:強化認証の必要性
はじめに インターネットオブシングス(IoT)が日常生活に深く浸透するにつれ、これらのデバイスのセキュリティは重要な課題となっています。この記事では、IoTデバイスのセキュリティの重要性と、強化された認証手段の必要性について探ります。 IoTデバイスのセキュリティリスク IoTデバイスは常にインターネットに接続されているため、様々なセキュリティリスクにさらされます。 データ侵害: 個人情報や企業の機密情報が盗まれるリスクがあります。 ネットワーク攻撃: IoTデバイスがハッキングの対象となり、ネットワーク全体が危険にさらされます。 マルウェア: IoTデバイスはマルウェアの感染経路となる可能性があります。 強化認証の必要性 IoTデバイスのセキュリティを確保するためには、強化された認証システムが不可欠です。 多要素認証(MFA): パスワードだけでなく、生体認証やトークンなどを使用した複数の認証手段を組み合わせる。 定期的なパスワード変更: デバイスやアカウントのパスワードを定期的に更新する。 アクセス管理: ユーザーごとにアクセス権を厳格に管理し、不要なアクセスを防ぐ。 IoTデバイスのセキュリティ対策 IoTデバイスを安全に利用するためには、以下のセキュリティ対策が推奨されます。 最新のソフトウェア更新: デバイスのファームウェアやソフトウェアを常に最新の状態に保つ。 セキュリティ意識の向上: ユーザー自身がセキュリティリスクを理解し、適切な対応をとる。 専門家との協力: セキュリティの専門家と協力し、企業や組織のIoTセキュリティポリシーを策定する。 まとめ IoTデバイスの普及は、日常生活を便利にする一方で、新たなセキュリティの課題をもたらします。これらのリスクに効果的に対応するためには、強化された認証システムの導入と、継続的なセキュリティ対策が不可欠です。セキュアなIoT環境の構築は、テクノロジーがもたらす利益を最大限に享受するための重要なステップです。
お知らせ一覧