Site Overlay

2段階認証をも突破される不正ログインの原因

投稿者: efariel

はい、こんにちは(^^)

日本列島九州南部が梅雨入りしたとのこと

今年は早いですね(゜o゜)

愛知県地方も今日は雨が降ってます

作業ができないのでここでブログを一つ投稿したいと思います

最近ニュースで話題になっててご存じの方もいるかもしれませんが、証券口座の乗っ取り被害が多発してます。2段階認証までしていてなぜ突破されるのか、そのカラクリをお話します。少しでも知識を得ておけば対策にもつながっていきますので参考にしてください

本来アカウントの乗っ取りとは自己責任という観点が強いのが世の流れです

パスワードの使いまわし、推測される配列(誕生日など)、文字数の少なさ等など

今回の証券口座乗っ取りにおいては規模が大きすぎてついに証券会社の方が賠償という形で動かざるを得なくなりました。背景には政府の要請があったと考えられてます。NISAなど若い世代にも安心して投資をしてもらいたいという事情が透けてみえます。まぁ金利が上がりだした現代において「貯金から投資へ」は薄らいできてるのですが(=_=)

二段階認証までしててもダメならどうしたらいいの?

こんな声が聞こえてきます

結論からいいますと、それは全てフィッシング詐欺による手口です

ご自身でパスワードと2段階認証を打ち込んでるそのサイト自体がニセモノなのです

今のところモバイル側でサイトの本物と偽物の区別は判断できないんです

今のwindowsには強力なセキュリティが初めから入っていて市販のセキュリティを購入してなくても安心して使えるようになってます。ただしフィッシングというのはどんなセキュリティでも見抜くことは不可能です(できると謡ってたセキュリティメーカーもありましたが断言はしてなかったし、完璧ではなかったです)

まぁ可能性とすればAIがもっともっと進化して「それは危ないサイトですよ~」って教えてくれるようになることでしょうが…今は人間の目で気づくしかありません

フィッシングとはなんなのか

フィッシングサイトの流入経路はSMSかフィッシングメールの2つです

「このままだとロスカットに」などとユーザーの不安をあおり、ログインするように仕向ける。URLをクリックすると本物そっくりの証券サイトのログイン画面が表示される。IDやパスワードなどを入力してしまうと、情報が盗み取られるという仕組みです。

思い出してください、オレオレ詐欺と同じなんです

ターゲットにされた人は信じ切って騙されるというあの方法

「そんな手口で引っかかるやつがおかしい」という声も多いですが何100億円という単位の被害額だと知ると人の心理というのは深いものです。いつ騙されるか、手口はどんどん巧妙化してきているのです。(AIが守ってくれるかもしれないけどAIが攻撃してくるかもしれないという恐怖)

フィッシングでの2段階認証突破までの経緯はこうです

ユーザーがフィッシングサイトにIDやパスワードを入力すると、「確認中」「Loading」といった画面が表示される。待機中のユーザーは、本物のサイトにログインしたものと勘違いする。

その間、悪用者は盗んだ情報を基に本物のサイトにログインする。すると、2段階認証に必要な認証パスコードがユーザーのSMSやメールに送られる。ユーザーがフィッシングサイトに入力すると、悪用者はそれを盗み、2段階認証を突破してしまう。

こういう手口があるということを知っておいてください

必ずサイトのURLはブラウザなどのブックマークに正式サイトを登録しておいてそこからログインするようにしてください

2段階認証にはメールやSMSでのワンタイムパスワードの受け取りよりGoogleアプリのAuthenticatorをおすすめします。完全にweb同期になってますしワンタイムパスワード有効時間が短いのでセキュリティは高くなります。それでもフィッシングにかかってしまっていれば水槽の中の魚なのです

そのためにはメールやSMSに送られてきたURLは絶対にクリックしないこと

どんなに不安をかけられても自身から正規サイトへ行きお知らせなどをチェックすることを心掛けましょう

先日こんなショートメールが届きました

ほんと世も末かいなと思えました

誰にでも無差別に発信して1%でも当たればラッキーくらいで横行してるように思えます

SBIの口座持ってないし!(笑)

でもどこから流出するのかなと予想が少しつきました

最近SBIの株を買ったんです

そういうところから情報が漏れてSMSが届くのではないか….そんな憶測が頭をよぎりますが、真実は定かではない。でもこの手の手口のたびになにか近い関連があることは確かに今までもあるのでそうなんだと思ってます

今回証券会社は賠償という形で動きましたが、基本的には自身のアカウントは最低限自身で守るようにするべきです(ただし証券会社など大手のサーバーからパスワードなどが流出して大々的にユーザーが被害を被った場合はサービス側が何らかの賠償をするはずです)AIなどに任せるようなことをして安心かというとそうでもなく、結局人間の注意力を欠いてしまい見抜く力さえ失ってしまいかねませんからね

まとめますとログインするときは正規サイトでしましょう、不安を煽られたメールなどはまず落ち着いて対処しましょう(^^)

ではでは