狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上:この頃、セキュリティ界隈で(2/2 ページ)
不正アクセスを防ぐ対策の代表である、多要素認証。ワンタイムパスワードを実装する例が多いが、この仕組みを突破しようとする攻撃が増えつつあるという。
セキュリティジャーナリストのブライアン・クレブス氏が運営するKrebs on Securityによると、この手のワンタイムパスワード詐取は、詐欺グループが事前に被害者のアカウントのIDやパスワードを入手していることを前提とする。
Coinbaseの場合、9月の時点で顧客をだましてIDとパスワードを入力させようとするフィッシング詐欺が横行しているとして、公式ブログで注意を呼びかけていた。主にイタリアの顧客を狙ったフィッシング詐欺サイトを発見・調査したセキュリティ企業Hold Securityによれば、このサイトでは閉鎖されるまでに少なくとも870件の認証情報が盗まれていたと思われる。
Coinbaseの公式サイトを偽装したこのサイトは、被害者がだまされて認証情報を入力するたびに、詐欺グループ側の管理画面に通知が出る。そこで管理者が「情報送信」ボタンをクリックすると、被害者に対して氏名や生年月日、住所などの個人情報の入力を促す画面を表示する。「認証SMS送信」ボタンをクリックすると、被害者の端末の認証アプリが生成したワンタイムパスワードを入力させる画面を表示する仕組みだった。
それでも多くのユーザーは、自分は詐欺サイトにだまされたりはしないと思うかもしれない。しかし個人情報はいつ、どこで流出しているか分からない。闇サイトではそうした情報が大量に売買されている。
「SMSや電話を使ったOTP(ワンタイムパスワード)サービスは、何もないよりはましだが、犯罪集団は相手をだまして安全対策をかわす手段を見つけている」とIntel 471は警鐘を鳴らす。
その背景としてクレブス氏は「SMSベースのワンタイムコードや、アプリで生成されるOTPトークンなど、傍受や偽装が可能な多要素認証手段へとユーザーを誘導するWebサイトやサービスがあまりに多い」と指摘する。
多要素認証とは本来、ユーザーが知るパスワードなどの「知識情報」と、スマートフォンなどの「所持情報」、指紋などの「生体情報」の3要素のうち2要素以上を組み合わせる認証を指す。ところが実際には、同じ知識情報(パスワードとワンタイムコード)を、同じチャネル(Webブラウザ)経由で入力させるサービスも多いとクレブス氏は言う。
「2要素認証の形態としては、認証アプリで生成する時間ベースのワンタイムパスワード(TOTP)コードやプッシュ通知ベースのコード、FIDOセキュリティキーなどの方が確実性は高い」とIntel 471は解説している。
関連記事
- 「ラブライブ!」などソシャゲ開発のKLabで不正ログイン 3カ月前にも被害に
「ラブライブ!」シリーズなどのスマートフォン向けゲームを開発する、KLabは、ゲームデータの引き継ぎなどに使う「KLab ID」に外部からの不正ログインがあったと発表。 - YouTubeチャンネルを乗っ取るフィッシング攻撃についてGoogleが警告
Googleは傘下のYouTubeで後をたたない金銭目的のフィッシング攻撃について説明し、YouTuberに対策を勧めた。11月1日からYouTube Studioにアクセスするには2段階認証が必要になる。 - スーパーマーケットのECサイトで個人情報25万件が流出か 非会員含む8年分の顧客情報が対象
スーパーマーケットを展開するベイシアは、同社のECサイト「ベイシアネットショッピング」の運営委託先が第三者による不正アクセスを受け、顧客の個人情報25万4207件とクレジットカード情報3101件が流出した可能性があると発表。 - LINEを使ったワクチン接種記録アプリ、東京都が提供 イオンなど画面提示で特典付与
東京都は、新型コロナウイルスのワクチン接種記録を登録できるアプリ「TOKYOワクションアプリ」を11月1日からリリースする。協賛企業の店頭でアプリを提示すると、さまざまな特典を受けられる。 - 暗号資産取引所「Coinbase」日本参入 信頼性訴求でユーザー獲得狙う
暗号資産事業を手掛ける米Coinbaseの日本法人が、暗号資産取引所「Coinbase」のサービスを日本でも始めた。サービス開始時点で取り扱う暗号資産はビットコインなど5種類。銘柄は随時拡充する。
Copyright © ITmedia, Inc. All Rights Reserved.