ITmedia NEWS >
ニュース
» 2019年12月03日 07時00分 公開

2段階認証でも突破する詐欺サイトが急増 作成ツール出回る (1/2)

金融機関が導入している2段階認証を突破するフィッシング詐欺サイトが増えている。2段階認証でも安全とは言い切れないとして、関係者は注意を呼びかけている。

[産経新聞]
産経新聞

 インターネット上で偽のWebサイトに誘導し個人情報などを盗み取るフィッシング詐欺をめぐり、金融機関が本人確認強化のため導入している「2段階認証」が突破されるケースが増えている。詐欺サイト上で打ち込ませたIDやパスワードを正規の銀行サイトに入力、利用者のもとに届いた1回限り有効なパスワード(ワンタイムパスワード)を再び詐欺サイトに入力させ、盗み取る手口だ。2段階認証でも安全とは言い切れないとして、関係者は注意を呼びかけている。

photo

 フィッシング詐欺は現在、スマートフォンなどに金融機関や運送会社の不在通知などをかたって偽サイトに誘導するURL付きのショートメッセージサービス(SMS)を送り、偽サイトでIDやパスワードなどを入力させる手口が一般的となっている。

 被害を防ぐため金融機関側は、ネットバンキングなどを利用する人がサイトでIDやパスワードを入力した際、ワンタイムパスワードをSMSやメール、電話の音声案内を通じて送り、再度入力してもらう2段階の認証を取り入れ、本人確認強化を図っている。

 だが、情報セキュリティ会社「トレンドマイクロ」によると、2018年11月ごろから、ワンタイムパスワードを入力する項目がある2段階認証の突破を目的とした詐欺サイトが登場。金融機関を名乗り、「口座にリスクがある」などと利用者の不安をあおって偽サイトにアクセスさせた上、IDやパスワードを入力するとワンタイムパスワードの入力を要求してくる。

 この際、攻撃者側は利用者が入力したIDなどを正規の金融機関のサイトに入力。正規サイトから利用者にワンタイムパスワードが送られ、利用者はだまされていると知らずに偽サイトに発行されたワンタイムパスワードを入力してしまえば、口座にある現金は攻撃者に盗み取られてしまう。

 トレンドマイクロによると、19年1〜8月に確認されたのは10〜39件だったが9月には94件と急増し、10月も61件と高止まりの状態が続いている。

photo

 ある情報セキュリティ関係者は、「どの金融機関がどういう手法でワンタイムパスワードを発行しているかを把握した巧妙な詐欺サイトが増えてきている。銀行から身に覚えがないSMSなどが届いた場合、その文面をコピーしてネット検索し、本物かどうか裏を取る必要がある」と話している。

       1|2 次のページへ

copyright (c) Sankei Digital All rights reserved.