セキュリティ意識の陳腐化について 「これなら安心安全!」はすぐに危険になる:半径300メートルのIT(2/2 ページ)
情報セキュリティの世界に「絶対」はありません。「この対策さえすれば、絶対安全ですよ!」というフレーズは、大抵間違っています。特に怖いのは、その「絶対安全」の基準がすでに古くなり、むしろ犯罪者の狙い目になっていることで……
「これなら安全!」という安直なメッセージ、攻撃者視点では……?
サイバー犯罪者は、TVドラマに出てくるような「暗い部屋でキーボードを『カタカタ……ターン!』と打って、機密情報を抜き取ってしまうスーパーハッカー」ではありません。彼らはむしろ、ターゲットをだますために、さまざまなコミュニケーションスキルを駆使する詐欺師です。詐欺師が狙うのは、ターゲットの無邪気な思い込みです。そんな攻撃者にとって「これなら安全ですよ!」というメッセージはどのように見えるでしょうか。
もし「悪意あるWebサイトにだまされないように、URLバーを確かめましょう」というメッセージが広まれば、犯罪者は“URLバーの偽装”を全力で考えるでしょう。ターゲットが「錠のマークが出ていれば安心!」と信じ込んでいれば、鍵マークを偽装表示させる方法を考えます。「この攻撃の対象はandroid端末だけで、iOS端末では無関係」という情報が広まれば、安心しきったiOSユーザーをターゲットに攻撃を仕掛けてくるでしょう。
例えば、android端末に偽のアプリをダウンロードさせる攻撃がiOS向けに”改良”され、悪意あるプロファイルのインストールや、2段階認証情報の横取りを狙う攻撃として広まっています。
フィッシング詐欺で HTTPS が利用されるケースが広がっています。アドレスバーの南京錠のアイコンの意味をもう一度ご確認ください。 – Naked Security (2017年12月の記事)
攻撃者は必死に学んでいるからこそ、私たちも必死に守るべし
本連載がスタートした2013年頃、2段階認証はまだ浸透していませんでした。現在では多くのサービスで、パスワードだけに頼らない認証方法として2段階認証が利用されています。そのためパスワードリスト攻撃からの防御は強固になったものの、お金に関係するサービスにおいては、まだまだリスクは残っている、と考えるべきです。
おそらく、サイバー犯罪者が次に狙っているのは「2段階認証が設定されていれば安心!」というみなさんの思い込みです。2段階認証は「漏えいしたパスワードをそのまま使う」ような、チープなサイバー攻撃からの防御を可能にしてくれました。しかし、サイバー犯罪者が持ち前のコミュニケーションスキルを使い、言葉巧みに誘導して、あなたから2段階認証の重要情報を直接持ち出すようなことも起こりえます。この攻撃手法は、サイバー犯罪者にとってコストのかかるものです。しかし、労力に見合う金銭が得られるのであれば、きっとその攻撃は現実のものになるでしょう。
例えばユーザーの意識を「2段階認証情報は、本当に正しいWebサイト以外に入力しなければ安全」という形にアップデートする必要があります。「本当に正しいサイト」とは、一体どう判断すれば良いでしょうか。アドレスバーの錠マークはもちろん、ドメイン名が正しいことも判断しなくてはいけません。いちいち判断するのが難しければ、メッセージに記載されたリンクは使わず、アプリやブックマークに登録したリンクからサービスにアクセスしましょう。
攻撃手法はどんどん巧妙に、手の込んだものになっています。なかなか属人的ですが「めっちゃ注意する」のも効果的ですし、「めっちゃ注意」していても、失敗することもあるはずです。万が一、あなたがサイバー攻撃の被害に遭ってしまった場合は、ぜひその体験を公表し、身の回りの方に教えてあげてください。
サイバー犯罪者たちは攻撃のエコシステムを作り、学習しながら集団で攻撃を仕掛けてきます。だからこそ、私たちも協力し合って成功体験や失敗体験を共有しつつ、防御について学び続けることが重要だと、私は思います。
関連記事
- SNSを一度ハッキングされたら、「パスワード変更」だけで対処を終えてはいけない
- URLバーの組織名表示を信用できる? 変化するEV SSLサーバ証明書の取り扱い方
- 俺を忘れてもらっちゃ困るぜーー進化する「ビジネスメール詐欺」
- 逃げなかった先人たち 過去のインシデントの「後始末」を振り返る
- 「二段階認証を入れたから、オレのデータは安全」と思っているユーザーに伝えたいこと
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.