連載
» 2019年11月19日 07時04分 公開

セキュリティ意識の陳腐化について 「これなら安心安全!」はすぐに危険になる半径300メートルのIT(2/2 ページ)

[宮田健,ITmedia]
前のページへ 1|2       

「これなら安全!」という安直なメッセージ、攻撃者視点では……?

 サイバー犯罪者は、TVドラマに出てくるような「暗い部屋でキーボードを『カタカタ……ターン!』と打って、機密情報を抜き取ってしまうスーパーハッカー」ではありません。彼らはむしろ、ターゲットをだますために、さまざまなコミュニケーションスキルを駆使する詐欺師です。詐欺師が狙うのは、ターゲットの無邪気な思い込みです。そんな攻撃者にとって「これなら安全ですよ!」というメッセージはどのように見えるでしょうか。

 もし「悪意あるWebサイトにだまされないように、URLバーを確かめましょう」というメッセージが広まれば、犯罪者は“URLバーの偽装”を全力で考えるでしょう。ターゲットが「錠のマークが出ていれば安心!」と信じ込んでいれば、鍵マークを偽装表示させる方法を考えます。「この攻撃の対象はandroid端末だけで、iOS端末では無関係」という情報が広まれば、安心しきったiOSユーザーをターゲットに攻撃を仕掛けてくるでしょう。

 例えば、android端末に偽のアプリをダウンロードさせる攻撃がiOS向けに”改良”され、悪意あるプロファイルのインストールや、2段階認証情報の横取りを狙う攻撃として広まっています

フィッシングの報告件数は右肩上がりで増加中(フィッシング対策協議会「2019/10 フィッシング報告状況」より)

フィッシング詐欺で HTTPS が利用されるケースが広がっています。アドレスバーの南京錠のアイコンの意味をもう一度ご確認ください。 – Naked Security (2017年12月の記事)

攻撃者は必死に学んでいるからこそ、私たちも必死に守るべし

 本連載がスタートした2013年頃、2段階認証はまだ浸透していませんでした。現在では多くのサービスで、パスワードだけに頼らない認証方法として2段階認証が利用されています。そのためパスワードリスト攻撃からの防御は強固になったものの、お金に関係するサービスにおいては、まだまだリスクは残っている、と考えるべきです。

 おそらく、サイバー犯罪者が次に狙っているのは「2段階認証が設定されていれば安心!」というみなさんの思い込みです。2段階認証は「漏えいしたパスワードをそのまま使う」ような、チープなサイバー攻撃からの防御を可能にしてくれました。しかし、サイバー犯罪者が持ち前のコミュニケーションスキルを使い、言葉巧みに誘導して、あなたから2段階認証の重要情報を直接持ち出すようなことも起こりえます。この攻撃手法は、サイバー犯罪者にとってコストのかかるものです。しかし、労力に見合う金銭が得られるのであれば、きっとその攻撃は現実のものになるでしょう。

 例えばユーザーの意識を「2段階認証情報は、本当に正しいWebサイト以外に入力しなければ安全」という形にアップデートする必要があります。「本当に正しいサイト」とは、一体どう判断すれば良いでしょうか。アドレスバーの錠マークはもちろん、ドメイン名が正しいことも判断しなくてはいけません。いちいち判断するのが難しければ、メッセージに記載されたリンクは使わず、アプリやブックマークに登録したリンクからサービスにアクセスしましょう。

 攻撃手法はどんどん巧妙に、手の込んだものになっています。なかなか属人的ですが「めっちゃ注意する」のも効果的ですし、「めっちゃ注意」していても、失敗することもあるはずです。万が一、あなたがサイバー攻撃の被害に遭ってしまった場合は、ぜひその体験を公表し、身の回りの方に教えてあげてください。

 サイバー犯罪者たちは攻撃のエコシステムを作り、学習しながら集団で攻撃を仕掛けてきます。だからこそ、私たちも協力し合って成功体験や失敗体験を共有しつつ、防御について学び続けることが重要だと、私は思います。

著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ