「2段階認証」突破を狙った偽のサイトが増えていることをご存じだろうか。
2段階認証とは、パソコンやスマホでWEBサイトにログインする時、IDやパスワードの入力に加え、メールやSMSに送られてくるコードを入力するなどをして本人を確認する方法だ。
本来、本人確認を強化するために行われているわけだが、この2段階認証を突破し、口座にある現金が盗み取られるなどの被害が発生しているという。
その手口は、情報セキュリティ会社、トレンドマイクロ株式会社によると以下のように行われるという。
1)SMSで、「パスワードの失効」や「第三者によるログイン試行を確認」など、セキュリティの不安を煽る内容により、利用者を偽サイトに誘導し操作を促す(PCでも受信可能な電子メールの場合もある)。
2)誘導先のフィッシングサイトで利用者が認証情報を入力すると、処理中のプログレスバーが表示される。
その背後では、詐欺グループが詐取した認証情報を利用して正規の銀行サイトへログインすると共に、不正な送金処理が進められていると考えられる。
※プログレスバー…長時間掛かる動作の進捗状況をどの程度完了しているのか表示するもの
3)フィッシング詐欺サイトの表示が切り替わり、利用者に届いたワンタイムパスワードを入力するように促す。
そのワンタイムパスワードを詐欺グループが正規の銀行サイトに入力し、これにより、口座にある現金を盗み取られたり、不正に決済されてしまったりすることがあるという。
2段階認証で信用してしまう心理を逆手に取った手口だが、被害に遭わないために、我々はどのようなことに気を付けたらよいのか?
トレンドマイクロ株式会社の方に詳しく聞いてみた。
急増する詐欺サイト9月は94件
――このような詐欺サイトはどのくらい増えている?
弊社では、以下にあります通り、国内ネットバンキングの二要素認証突破手口と考えられる
フィッシングサイトの不正ドメイン数(サイト数)を確認しております。
なお、10月は61件の不正ドメインを確認しております。
――こういった詐欺サイトのツールが出回っているという話もあるが?
今回のフィッシングで実際に悪用されているツール自体を当社では確認しておりませんが、フィッシング詐欺サイトのURLに「12345_files」や「yahulogin」などの特徴的な文字列を含むものを確認しているため、サイバー犯罪者が特定のツールキットを使用してフィッシングサイトを構築していることが推測されます。
――この方法で、金融機関にある口座の全額を盗られてしまうケースもあり得る?
あくまで、ネットバンキングのアカウントで送金できる上限金額・送金回数までと考えられます。どこまでの権限があるかは各金融機関や顧客の契約サービスで異なると思われますので、
金融機関側にご確認ください。
受け取ったことがない金融機関からのSMSは疑え!
――我々、利用者はどのように対策すべき?
これまで、SMSを受け取ったことがない金融機関からSMSが、何のきっかけもなく突然来た場合は疑った方が良いと思われます。
また、こういった手口がまずあることを知っていただき、メッセージを受け取った場合は、すぐにリンクをクリックせず、本文をWebの検索サービスで検索するなどをお勧めします。
SNSなどで同じ被害に遭われている方の書き込みやセキュリティ会社、金融機関の注意喚起ページが見つかる可能性があります。
――他にどんなことに気を付けたら良い?
・本文の内容や、メールの場合は送信元情報(From)に不審なところが無いかよく確認する。
・本記事で紹介したようなフィッシングの手口があることを意識し、誘導先サイトのURLが該当金融機関の正規URLであるかどうかを確認する。
・また、普段と異なるタイミングで二要素認証などの情報を求められた場合、いったん立ち止まってそのサイトのURLが正しいものかを再確認する。
・自身が利用している金融機関については、事前に正しいURLをブックマークに登録し、ブックマークからのみアクセスするなどの心がけも有効。
――金融機関が本人確認するための有効な方法はないのか?
フィッシング詐欺においては「利用者が騙されてしまっている」ということが大きな点と考えており、今回の2要素認証の場合でも、結果2回利用者が騙されて情報を入力してしまっていることになります。
利用者側を巧みにだますような手口がある限り、本人確認の手法が変わっても、危険性は少なからず存在すると思われます。
有効な対策が打ち出されない限り、サイバー攻撃は続く
――今後、さらに広がりそう?
10月の不正ドメイン(サイト)数は61件と、9月の94件と比べて減少しておりますが、8月と比較してもまだ多い状況です。また警察庁様が公表されている不正送金詐欺被害金額の推移では、2019年上半期(1月から6月までの6か月間)における発生件数は183件、被害額は約1億6,600万円でしたが、8月における発生件数は105件、被害額は約7,400万円、また、9月における発生件数は436件、被害額は約4億2,600万円と増加しています。
これらのフィッシング詐欺の影響が大きいと思われ、現時点ではサイバー犯罪者が大きな利益を得てしまっている状況と推測されます。したがって有効な対策が打ち出されたり、ユーザー側の認識が向上するまで攻撃が続くと思われます。
インターネットを使った詐欺は、年々巧妙化している。
被害に遭わないためにも、このような詐欺サイトがあることを認識し、上記のようなアドバイスを参考にして、自分のお金は自分で守るしかないのかもしれない。
