システムが守っても「あなた」が壊す？ パスワード管理の盲点を突く手口：半径300メートルのIT

「見慣れないダイアログが出てきた」「パスワードが自動入力されない」……これは面倒な不具合ではなく、システムがあなたをフィッシング詐欺から守っているサインかもしれません。人を狙う巧妙化する攻撃の実態と、技術と意識の両面からデジタル資産を守るためのポイントを解説します。

[宮田健，ITmedia]

　認証、認可情報のセキュリティ強化として、本コラムでもたびたび「パスワード管理ソフト」の利用をお勧めしてきました。私も家族に使い方などをガイドしていましたが、先日OSに内蔵されたパスワード管理機能に関して「これ何？」と聞かれたことがあります。それが下記の「XXXXのパスワードを、example.co.jpで使用しますか？」というダイアログです。

　主にアプリでログインしようとしたとき、IDとパスワードが自動入力できなかった際に表示されるものなのですが、この意味とリスク、ピンときませんよね。デフォルトは「1回のみパスワードを使用」のようですが、どれを押すのがよいのでしょうか。そして、何を考えればよいのでしょうか。

確かに「1回のみパスワードを使用」と答えてほしいのですが、その理由は（出典：筆者iPhoneのスクリーンショット）

パスワード管理ソフトで最も重要な機能とは

　Webブラウザの「Google Chrome」などでは、パスワードを覚えてくれる機能がずいぶんと前から提供されています。多くの方がパスワード忘れから救われている非常に強力な機能ですが、これがあるからPCの買い換えが怖い、と思っている方も多いはず。

　最近ではパスワード保存機能に加えて、アカウント間の同期機能も用意されています。新規PCにログインするだけで、これまでの環境も保存したパスワードも元通りになり、これまたパスワードを覚えなくてもよい環境に近づきました。非常に便利な機能です。

　実はここには、使う側があまり意識しない、フィッシング対策が含まれています。ブラウザがあなたのIDとパスワードを覚えるとき、そのログインするページの「ドメイン」（URL）も一緒に保存しているのです。

　フィッシングとは、正規のログインページとそっくりな偽のページを、見た目は同じように見える偽のURLの上に作るのが定石です。そっくりに作ることであなたをだまし、あたかも正規ページの顔をして、IDとパスワードを入力させるわけです。

　これまでであれば精巧に作られていてもほころびがあり、違いを見分けるというアプローチもできたかもしれません。ですが、基本的に見分けるという方法に固執していては、だまされる一方です。

　かつてはブラウザに表示されたURLをチェックしよう、という見分け方もそれなりに有効でした。しかし、ブラウザを提供するベンダーはあるタイミングからURL表示欄を縮小し、目立たなくしました。これはURLを人間の目で見分けることが非常に難しいことを示しています。お勧めできません。

　では、どうしたらいいでしょうか。URLを人間の目ではなく、システムの力で見分けるのです。便利な機能であるパスワード保存機能は、セットでドメインも保存しています。そのため、ドメインが一致しなければ、ID、パスワードを自動入力しません。いつも見慣れたログインページなのに、ID、パスワードが自動入力されていなかったときは、そこでいったん立ち止まり「このページ、フィッシングかも？」と考えられるはずです。

　ブックマークからサービスのページを開き、いつものようにパスワードが自動入力されていれば、あなたは無事、フィッシングから身を守れたことになります。これは機械が判断できるポイントです。間違い探しは任せてしまいましょう。

　これこそが、パスワード管理ツールを使う理由です。パスワードを覚えてくれるだけでなく「正しいサイトにしかパスワードを提供しない」という機能こそ、フィッシング対策の切り札になるのです。

例外をどう管理する？

　問題は、その意識がないまま便利な機能を使うと、せっかくの防御機構が無駄になってしまう可能性があることです。

　比較的古い作りのスマートフォンアプリでログインをしようとすると、ID、パスワードが自動入力できず、冒頭にあるようなダイアログが出てくることがあります。上記の説明にあるように、パスワード管理機能はまずページのドメインをチェックし、そのドメインに一致する保存パスワードを表示しようとします。

　アプリの作りによっては、その入力画面にはドメインが付与されていませんので、当然、パスワード管理ソフトはパスワードを絶対に出しません。しかし、ツールによってはパスワードを利用者が選択し、画面に自動入力できます。それが、先の画面なのです。

　となると、これはかなりリスクのある選択だということに気が付くでしょうか。この画面が出てきたとき、ログインしようとしているページやアプリは、システム的に正規なものかどうかは判断できず、その判断は利用者に委ねられていることになります。

　そのため、もしこの画面が出てきたとしたならば、利用者は本当に正しいアプリか、正しいサイトなのかをしっかりと判別することが求められます。多くの場合、アプリのログイン画面に正しい設定が成されていないことが、このダイアログが出てくる原因です。なので、アプリの場合は正規のアプリかどうかを確認してから、「1回のみパスワードを使用」を押してください。サイトの場合、これが出てくることはかなりの割合でフィッシングであるはずです。再度、ブックマークからサイトを表示し、パスワードが自動入力されることを確認しましょう。

　このダイアログは、既に取られているパスワード管理機能の防御策を、1回だけ破る、という内容に近いのです。そのため、ぜひこのダイアログの意味を知り、その上でタップをするようにしてください。

どんなセキュリティ対策も乗り越えられるのは「あなた」

　「MFA Fatigue Attack」という攻撃があります。これは「多要素認証疲労攻撃」と呼ばれることもあります。「疲労」とあるように、2要素認証のプッシュ通知を何度も何度もあなたのスマートフォンに飛ばして判断力を「疲れ」させ、一回だけでもタップさせてしまうことを狙う攻撃です。多要素認証という仕組みを、攻撃者はシステムの脆弱（ぜいじゃく）性ではなく、あなたそのものを狙うという、非常に狡猾（こうかつ）、かつシンプルで有効的な攻撃で、初めて聞いたときに感心してしまった記憶があります。

　この流れをくむ、あなたそのものを狙うのが「ClickFix」や「FileFix」系の攻撃です。EDR（エンドポイント脅威検知・対処）の普及でこっそりとマルウェア感染をさせるのが難しくなった今、ならば人をだませばいいと攻撃者は考えたのでしょう。この手法も知らなければほぼ確実にだまされます。「Windowsキー＋R」や、普段やらないようなことを指示されたときには本当に気を付けてください。

　ひいては「偽セキュリティ警告」「サポート詐欺」も同じ系譜の攻撃といえるでしょう。これも、下記のページで一度実体験することで、あなたの意識も変わるはずです。

偽セキュリティ警告（サポート詐欺）対策特集ページ｜情報セキュリティ｜IPA（独立行政法人情報処理推進機構）

　セキュリティ対策はITの力で強化できます。そして、あなたの力でさらに強化することも、台無しにすることもできます。ぜひ、これらの攻撃を知ることからはじめ、みんなで守るという意識を忘れないようにしましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。