連載
» 2020年12月01日 07時00分 公開

半径300メートルのIT:「OneDriveフィッシング」に要注意 IDとパスワードを守るためにできること

ファイル共有サービスの利用者が増加する中、IDやパスワードが盗まれる危険性は、ひとごとではなくなってきています。フィッシング詐欺から、IDとパスワードを守るためにはどうすればよいのでしょうか。

[宮田健,ITmedia]

 JPCERTコーディネーションセンターは2020年11月27日、FortinetのSSL VPN機能の脆弱(ぜいじゃく)性に関するニュースを公開しました。同社のセキュリティ製品の基盤となるOS「FortiOS」における既知の脆弱性(CVE-2018-13379)の影響を受けるホストの一覧が、フォーラムで公開されたということです。

 公開された情報の中には、ホストのIPアドレスとSSL VPN接続を利用するユーザーID、平文のパスワードが含まれていました。セットで公開されたこれらを悪用すれば、セキュリティ機構をスルーして直接内部に入り込むことが可能になります。

 公開情報の中には、日本のIPアドレスも含まれています。Fortinet製品を利用している組織は、今すぐアップデート実行するか多要素認証を設定しましょう。今回の脆弱性は、2019年5月に既に公開済みで、脆弱性を修正したバージョンも公開されています。まだこの脆弱性を放置していた場合は、社内ネットワークに潜伏されていないかも併せて確認しましょう。

フィッシング詐欺から、ID/パスワードを守るためにできること

 ファイル共有サービスの利用者が増加する中、IDやパスワードが盗まれる危険性は、ひとごとではなくなってきています。今後のセキュリティ対策においては、いかにフィッシングサイトを避けるかが重要な課題になるでしょう。クラウド活用が推進される昨今、特にSoftware as a Service(SaaS)の認証情報は、SSL VPN同様に盗まれないように対策を講じる必要があります。

 マカフィーは2020年11月17日、報道関係者向け勉強会において、同社が公開した「McAfee脅威レポート:2020年11月」の内容を解説しました。調査によると、新型コロナウイルス感染症(COVID-19)関連のサイバー攻撃の検出が、前四半期比605%に急増しました。「Windows PowerShell」を悪用したマルウェアが、117%増となったことも判明しています。

 とりわけ調査の中で筆者が注目しているのがMicrosoftのオンラインストレージ「Microsoft OneDrive」を狙うフィッシング攻撃、いわゆる「OneDriveフィッシング」の増加です。マカフィーの2020年4〜6月の観測によると、OneDriveフィッシングの手口は、攻撃者が政府機関の担当者を装ってCOVID-19に関するアンケートを含む文書を送信するところから始まります。この文書には「Openボタン」があり、受信者がこれを押すと、OneDriveのログイン画面に似た偽の画面が表示されIDとパスワードの入力を促されます。ここにIDとパスワードを入力するとエラー画面が表示され、入力情報が盗まれる仕組みです。

政府機関になりすまし、OneDriveユーザーの認証情報を奪うフィッシング詐欺
コンサルティングファームになりすまし、同じくOneDriveユーザーの認証情報を奪うフィッシング詐欺

 マカフィーの櫻井秀光氏(セールスエンジニアリング本部 本部長)は「数年前までオンプレミスに集中していたデータが、現在はクラウドに置かれつつある。OneDriveを始めとしたSaaSのアクセス権を取得するための攻撃が増加している」と述べました。

 同氏は、一方でこれらの攻撃について「多数観測されているものの洗練されておらず、注意深くアクセス先を確認すれば『ログイン画面のURLが全く違う』といった見分けるポイントも存在する。多要素認証の設定も対策として有効だ」と評しました。

とはいえフィッシング詐欺は防ぐのが困難 今こそ「パスワード管理ツール」に投資しよう

 本コラムでも何度か取り上げてはいましたが、自宅作業が増加している今こそ、フィッシング詐欺対策として「パスワード管理ツール」を導入する好機だと思います。

 パスワード管理ツールを導入すべき理由の一つは、もちろんパスワードを自力で覚えるのを止めて、使い回しを防ぐことです。しかし今回は、フィッシング詐欺対策にぴったりの「ユーザーが入力するドメインを見て、パスワードを自動入力する」機能に注目しましょう。

 パスワード管理ツールは、IDとパスワードを記憶するだけでなく「入力すべきURL」も判定します。ツールを利用時に普段見ているページにもかかわらず、パスワードが自動で入力されていないとしたら、偽サイトの可能性が非常に高くなるというわけです。この場合に「パスワードを手入力しない」ということだけを覚えておけば、有効なフィッシング対策になるでしょう。

 「Chrome」や「Safari」などのWebブラウザに内蔵されたパスワード保存機能でも、パスワード管理ツールと同様に入力されるべきURLとID、パスワードをセットで記憶します。最近のWebブラウザは情報漏えいのインシデント対策として、パスワードを漏えいしているかどうかを表示する機能も持ちます。パスワード管理は今や、機械に任せた方が安全といえるでしょう。

macOS版Safariは、記録したパスワードが既知である可能性も知らせてくれる

 今の時代、従業員に向けて安全なパスワード管理ツールを提供し活用してもらうことこそが、企業にとって必要なセキュリティ投資でしょう。個人的には、組織内の情報システム部や機器選定に携わる人、経営者にこそパスワード管理ツールをまず利用してほしいと思っています。


著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ