セキュリティ意識の陳腐化について 「これなら安心安全！」はすぐに危険になる：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

「これなら安全！」という安直なメッセージ、攻撃者視点では……？

　サイバー犯罪者は、TVドラマに出てくるような「暗い部屋でキーボードを『カタカタ……ターン！』と打って、機密情報を抜き取ってしまうスーパーハッカー」ではありません。彼らはむしろ、ターゲットをだますために、さまざまなコミュニケーションスキルを駆使する詐欺師です。詐欺師が狙うのは、ターゲットの無邪気な思い込みです。そんな攻撃者にとって「これなら安全ですよ！」というメッセージはどのように見えるでしょうか。

　もし「悪意あるWebサイトにだまされないように、URLバーを確かめましょう」というメッセージが広まれば、犯罪者は“URLバーの偽装”を全力で考えるでしょう。ターゲットが「錠のマークが出ていれば安心！」と信じ込んでいれば、鍵マークを偽装表示させる方法を考えます。「この攻撃の対象はandroid端末だけで、iOS端末では無関係」という情報が広まれば、安心しきったiOSユーザーをターゲットに攻撃を仕掛けてくるでしょう。

　例えば、android端末に偽のアプリをダウンロードさせる攻撃がiOS向けに”改良”され、悪意あるプロファイルのインストールや、2段階認証情報の横取りを狙う攻撃として広まっています。

フィッシングの報告件数は右肩上がりで増加中（フィッシング対策協議会「2019/10 フィッシング報告状況」より）

フィッシング詐欺で HTTPS が利用されるケースが広がっています。アドレスバーの南京錠のアイコンの意味をもう一度ご確認ください。 – Naked Security （2017年12月の記事）

攻撃者は必死に学んでいるからこそ、私たちも必死に守るべし

　本連載がスタートした2013年頃、2段階認証はまだ浸透していませんでした。現在では多くのサービスで、パスワードだけに頼らない認証方法として2段階認証が利用されています。そのためパスワードリスト攻撃からの防御は強固になったものの、お金に関係するサービスにおいては、まだまだリスクは残っている、と考えるべきです。

　おそらく、サイバー犯罪者が次に狙っているのは「2段階認証が設定されていれば安心！」というみなさんの思い込みです。2段階認証は「漏えいしたパスワードをそのまま使う」ような、チープなサイバー攻撃からの防御を可能にしてくれました。しかし、サイバー犯罪者が持ち前のコミュニケーションスキルを使い、言葉巧みに誘導して、あなたから2段階認証の重要情報を直接持ち出すようなことも起こりえます。この攻撃手法は、サイバー犯罪者にとってコストのかかるものです。しかし、労力に見合う金銭が得られるのであれば、きっとその攻撃は現実のものになるでしょう。

　例えばユーザーの意識を「2段階認証情報は、本当に正しいWebサイト以外に入力しなければ安全」という形にアップデートする必要があります。「本当に正しいサイト」とは、一体どう判断すれば良いでしょうか。アドレスバーの錠マークはもちろん、ドメイン名が正しいことも判断しなくてはいけません。いちいち判断するのが難しければ、メッセージに記載されたリンクは使わず、アプリやブックマークに登録したリンクからサービスにアクセスしましょう。

　攻撃手法はどんどん巧妙に、手の込んだものになっています。なかなか属人的ですが「めっちゃ注意する」のも効果的ですし、「めっちゃ注意」していても、失敗することもあるはずです。万が一、あなたがサイバー攻撃の被害に遭ってしまった場合は、ぜひその体験を公表し、身の回りの方に教えてあげてください。

　サイバー犯罪者たちは攻撃のエコシステムを作り、学習しながら集団で攻撃を仕掛けてきます。だからこそ、私たちも協力し合って成功体験や失敗体験を共有しつつ、防御について学び続けることが重要だと、私は思います。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。