コラム
急増するリアルタイムフィッシングの脅威と対策
現代のサイバー攻撃は、かつてないほど巧妙化しており、中でも急増しているのが「リアルタイムフィッシング」です。従来のフィッシング攻撃を進化させ、被害者が入力した情報をリアルタイムで盗み取ることで、瞬時に不正利用が可能となる仕組みです。 本記事では、リアルタイムフィッシングの被害事例や手口、旧来のセキュリティ対策の限界を詳しく解説していきます。リアルタイムフィッシングの脅威を正しく理解し、適切な対策を講じることが重要です。 1.リアルタイムフィッシングによる被害事例 NTTドコモ利用者のケース 2021年9月末から10月初めにかけて、NTTドコモの利用者がリアルタイムフィッシングの手口により、約1億円分のギフトカードを不正に購入される被害が発生しました。被害者は「ドコモお客様センター」からの支払い確認を求める偽のSMSを受け取り、添付されたURLをクリック。 遠隔操作ウイルスを含む偽アプリ「NTTセキュリティ」をインストールさせられる仕組みです。被害者が携帯端末に契約者確認用の暗証番号を入力すると、犯人は即座に盗み、ドコモのオンラインショップで不正購入を行ったと見られます。 従来のフィッシング攻撃と異なり、リアルタイムフィッシングでは、攻撃者が被害者の動作をリアルタイムで監視し、瞬時に情報を利用します。このため、被害者が何が起こったのかを理解する前に、重大な損害が発生するリスクが高まっているのです。 2.リアルタイムフィッシングの手口 偽メールやSMSによる誘導 攻撃者は、まず被害者を偽サイトやアプリに誘導するために、信頼できる企業やサービスを装ったメールやSMSを送信します。例えば、「ご利用料金のお支払いが確認できません」や「アカウントに不審なアクセスがありました」といった内容で、緊急性を感じさせるメッセージがよく使われる手口です。被害者はメッセージに記載されたリンクをクリックしてしまい、偽のログインページやアプリに誘導されます。 偽ログインページと偽アプリの使用 リンクをクリックした被害者は、正規のログインページやアプリに見せかけた偽のページに辿り着きます。この偽ページやアプリは被害者が疑いを持たないよう、本物と精巧に似せて作成されていることが通常です。被害者は、普段通りログイン情報や暗証番号を入力してしまいますが、実際にはその情報は攻撃者のサーバーに送信される仕組みです。 リアルタイムでの情報収集 被害者が入力した情報は、リアルタイムで攻撃者に送信されます。これにより、攻撃者は被害者がまだログイン中である間に、その情報を利用して正規のサービスにアクセスすることが可能になります。例えば、銀行口座にアクセスして送金を行ったり、オンラインショップで商品を購入したりといった不正行為が即座に実行可能です。 即時不正利用の実行 攻撃者は、盗み取った情報を利用して、瞬時に不正な操作を行います。被害者がログインしている間に、攻撃者が同じ情報を使って別のデバイスからアクセスし、アカウントの乗っ取りや資金の不正送金を行うことができます。このプロセスは非常に迅速に行われるため、被害者が異常に気付く前に不正利用が完了しているケースがほとんどです。 3.リアルタイムフィッシングを可能とする仕組み データ転送のリアルタイム性 リアルタイムフィッシングの最大の特徴は、被害者が入力した情報が瞬時に攻撃者へ送られる点です。通常、被害者は偽のログインページやアプリに自分のIDやパスワードを入力しますが、その情報はリアルタイムで攻撃者のサーバーに転送されます。攻撃者は被害者がログインしているその瞬間に、同じ情報を使って正規のサイトにアクセスし、不正行為をできる仕組みです。 中間者攻撃で2要素認証も突破 リアルタイムフィッシングの一部では、「中間者攻撃」という技術が使われることがあります。これは、攻撃者が被害者と正規のウェブサイトやアプリの間に割り込み、通信を傍受する手法です。攻撃者は、被害者が送信するデータを盗み取るだけでなく、被害者と正規サイトのやり取りをリアルタイムで操作することで、2要素認証を突破することも可能です。 例えば、攻撃者は偽サイトを作成し、被害者に「アカウントにリスクがある」と警告するメッセージを送信します。被害者が偽サイトにIDとパスワードを入力すると、それが正規サイトに転送され、セキュリティコードが被害者に送信されます。 被害者がそのコードを偽サイトに入力することで、攻撃者はコードを使って正規サイトにログインし、アカウントを乗っ取ることができるのです。これにより、被害者が全く気付かないうちに、情報が盗まれ、悪用されます。 動的に生成されるフィッシングサイト リアルタイムフィッシングで使用されるフィッシングサイトは、非常に短期間だけ存在し、その後すぐに消えることが多いです。偽サイトは動的に生成され、攻撃者がターゲットを誘導するためだけに使われます。従来のセキュリティ対策では、このような短命なサイトを発見しブロックすることが難しいため、被害を未然に防ぐことが難しくなっています。 4.旧来のセキュリティ対策の限界 静的パスワードの脆弱性 静的パスワードは、最も基本的なセキュリティ手段として広く使用されてきました。ユーザーが一度設定したパスワードをずっと使い続けるこの手法は、シンプルで便利ですが、リアルタイムフィッシングの前では脆弱です。 被害者が偽のログインページに入力したパスワードは、即座に攻撃者に渡ります。攻撃者はその瞬間に、このパスワードを使って正規のサイトにアクセスし、アカウントを乗っ取ることが可能です。 秘密の質問とセキュリティ質問の限界...
ゲームの不正ログイン事例から学ぶ:メール認証の脆弱性とその対策
近年、オンラインゲームにおける不正ログイン事例が急増しています。特に、複数のサービスで同じIDとパスワードを使い回しているユーザーが狙われ、メール認証の脆弱性が悪用されるケースが多くなっている状況です。本記事では、具体的な不正ログイン事例を取り上げ、どのようにメール認証の脆弱性が利用されているかを詳しく解説するとともに、効果的な対策方法を紹介します。 1.オンラインゲームにおける不正ログインの事例 ユーザーのアカウントが不正にアクセスされることで、個人情報の漏洩やゲーム内資産の損失、不正課金等の被害が発生しています。ここでは、具体的な不正アクセス事例を通じて、原因や被害の実態を確認していきます。 任天堂の事例 2020年4月24日、任天堂はオンラインアカウントに対する大規模な不正ログイン事件を発表しました。攻撃者は、他のサービスから流出したIDとパスワードを使用してアカウントにアクセスし、クレジットカードやPayPalを不正利用したものです。被害を受けた可能性があるアカウントは30万に達し、この事態を受けて任天堂はセキュリティ対策として一部のログイン機能を廃止し、被害アカウントのパスワードリセットを実施しました。不正取引が行われたアカウントは全体の1%未満であり、大半のユーザーには返金手続きが完了しています。 Klabの事例 2021年10月27日、ソーシャルゲーム事業を展開するKLab株式会社は、同社が提供する「KLab ID」に対するサイバー攻撃により、2,846件のユーザーアカウントが不正ログイン被害を受けたと発表しました。外部から流出したパスワード情報等を流用するサイバー攻撃「パスワードリスト攻撃」の可能性が高いと分析しています。閲覧された可能性のある情報には、メールアドレスや生年月日などの登録情報、連携アプリの情報が含まれていましたが、パスワード情報は復元不可能な形で保管されているため流出は確認されていないとしています。 警察による注意喚起 不正アクセスが多発していることを受け、警察も注意喚起を呼びかける事態となっています。例えば、鳥取県警察は、ゲームのログイン履歴を確認し、身に覚えのないログインがないかチェックすることを推奨。ログイン履歴の見方がわからない場合は、画面を印刷するかデジカメで撮影して最寄りの警察署に相談するよう呼び掛けています。IDとパスワードの使い回しは非常に危険であり、オンラインゲームだけでなくネットバンキングなど他のサービスでもパスワードの使い回しを避けることが特に強調されている予防策です。 2.メール認証の脆弱性が不正ログインを招く オンラインゲームにおける不正ログインの原因として、メール認証の脆弱性が大きな問題となっています。多くのサービスでは、パスワードを忘れた際にメールアドレスを使ってパスワードをリセットする機能が提供されていますが、実はこの機能が不正アクセスの温床となっているのです。以下では、メール認証の脆弱性がどのように不正ログインを招くのか、その仕組みと問題点を詳しく見ていきましょう。 パスワード再設定機能がメール認証の弱点 メール認証の最大の問題点は、ユーザーのメールアカウントが攻撃者に乗っ取られた場合、パスワード再設定機能を通じて簡単にゲームアカウントへの不正アクセスが可能になってしまうことです。 攻撃者はまず、フィッシングやマルウェアなどの手法を用いて、ユーザーのメールアカウントのログイン情報(IDとパスワード)を入手します。そして、そのメールアカウントを使って、ゲームサービスのパスワード再設定ページにアクセスします。 多くのゲームサービスでは、パスワードを忘れた場合、登録済みのメールアドレスに再設定用のリンクを送信する方式を採用しています。攻撃者は、このリンクをクリックし、新しいパスワードを設定することで、ゲームアカウントを乗っ取ることができてしまうのです。 このように、メールアカウントさえ乗っ取られてしまえば、メール認証を突破するのは容易であり、ゲームアカウントへの不正アクセスを防ぐことは非常に困難です。メールアカウントのセキュリティが破られた時点で、メール認証の意味がなくなってしまいます。 ゲームユーザーにおけるパスワードの使い回しの問題 メール認証の脆弱性が特に問題となるのは、ゲームユーザーの多くがパスワードを使い回す傾向があるためです。 ゲームユーザーの中には、複数のゲームサービスやソーシャルメディアで同じメールアドレスとパスワードを使用している人が少なくありません。特に若年層のユーザーは、利便性を重視するあまり、複数のサービスで同じログイン情報を使い回してしまうことが多いのです。 この状況では、たとえ一つのサービスから情報が流出しただけで、他のサービスのアカウントも危険にさらされることになります。攻撃者は、流出したメールアドレスとパスワードの組み合わせを使って、別のゲームサービスへのログインを試みます。パスワードが使い回されていれば、そのまま不正アクセスに成功してしまうのです。 ガンホーの事例でも、利用者のメールアカウントが不正アクセスにより乗っ取られるケースが多発していました。これは、ユーザーがパスワードを使い回していたために、他のサービスから流出したログイン情報が悪用された可能性が高いと考えられます。 3.不正ログインへのゲーム会社の対処 任天堂:二段階認証 任天堂では二段階認証の設定が任意で可能となっています。二段階認証は、パスワードに加え、スマートフォンの「Google Authenticator」アプリで生成される6桁の認証コードを入力する仕組みです。認証コードは一定時間ごとに更新され、毎回変化し再利用できません。 利用するには、スマートフォンに「Google Authenticator」アプリをダウンロードし、ニンテンドーアカウントのセキュリティ設定ページからQRコードをスキャンしてアプリと連携します。IDとパスワードが漏洩しても認証コードがなければログインできないため、不正アクセスを防ぎ、アカウントのセキュリティを大幅に強化します。 一方で、この方法はゲームユーザーのようなデジタルツールに慣れたユーザーには問題ありませんが、比較的年齢層が高いユーザーを抱える事業者には操作の難易度が高く、敬遠される可能性があります。 ガンホー:電話認証...
