不正アクセス対策の切り札 ドコモも勧める「ニ段階認証」、その落とし穴とは
近ごろ、佐川急便の事案を皮切りに、個人を標的にしたサイバー攻撃が相次いでいます。それはどれも、ちょっとした気の緩みに対するリスクとは思えないほど、被害が大きいのが特徴です。
宅配大手の佐川急便を装ったショートメール(SMS)が送られてくるという事件では、佐川急便の偽サイトを大量に用意し、Android端末に悪意のあるアプリをインストールさせるという手口が使われました。
その偽サイトのデザインは、本家のWebサイトと見た目がほぼ変わらず、偽サイトに書かれた指示の通りにアプリをインストールすると、そのアプリが勝手に、偽サイトへ誘導するSMSを不特定多数のスマートフォンへ大量送信するという事象が確認されています。
本コラムでも何度か伝えている通り、Android端末であれば設定で「提供元不明のアプリのインストールを許可する」という設定をオフにし、怪しいアプリをそもそもインストールさせないということを徹底してください。たとえインストールしようとしているアプリが、有名な企業やブランドの名前を冠していたとしても、です。
この佐川急便の偽サイトを利用したサイバー攻撃は当初、Android端末への偽アプリインストールを攻撃の手口としていたため、iPhoneやiPadといったiOS端末は攻撃の対象外でした。しかし、上記のように報道で大きく取り上げられ、対策が進んだためか、攻撃手法が変わっています。
現在では、偽サイトにアクセスした端末がiOSだった場合、攻撃者は偽アプリをインストールさせるのではなく、「Apple社から送られた製品はセキュリティ許可の認証が必要となります」と書かれたサイトで、電話番号を入力させるように促します。その後、認証コードを入力させる画面に遷移するようです。
これは、端末の二段階認証を横取りし、携帯キャリアのキャリア決済を不正に悪用するものではないかと見られています。
・関連記事→佐川急便かたるSMSに新たな手口 iPhoneユーザー標的か 携帯番号・認証コード詐取(ITmedia NEWS)
そして、佐川急便とほぼ同時期に、NTTドコモでも事件がありました。ある日気が付くと、14万円を超える負債が発生していたというものです。
この事件は、NTTドコモのオンラインショップで利用可能な「dアカウント」に対してリスト型攻撃で不正ログインが行われ、最も高価な「iPhone X 256GB」を購入されてしまうというものです。端末自体はコンビニエンスストアで受け取られてしまうため、被害者本人は気が付かないうちに、機種変更の代金を決済されてしまいます。
この結果、NTTドコモは不正アクセス対策として、利用者に二段階認証の利用を告知しています。パスワードの使い回しが14万円の請求につながってしまうのは、さすがにたまったものではないですね。該当のサービスを利用している方は、すぐに設定した方がいいでしょう。
NTTドコモの利用者は多いので、これで二段階認証の認知が少しでも広がること自体はいいことだと考えています。しかし一方で、「その仕組みを正しく理解しないまま設定だけをしてしまうと、また悪用されるリスクがある」と懸念しています。
そもそも二段階認証とは、あなたの頭の中にあるパスワードという「記憶」(Something You Know)だけでなく、生体情報(Something You Are)や所持情報(Something You Have)といったほかの要素を1つ以上加え、本人である証明を厳密なものにしましょう、という考え方で生まれました。
ドコモの例もそうですが、多くの人がスマートフォンを持っている昨今、二段階認証にはスマートフォンを使うものが多いです。これは、盗まれたことに気付きにくいパスワードという記憶情報に加え、その人しか持っていない可能性が非常に高いもの――つまり、「その情報を持っているのは本人だけ」という状況にしやすい道具として、スマートフォンが適しているためです。
さて、佐川急便の偽サイトや、NTTドコモが提示している二段階認証を見てみると、6桁程度の数字を入力させる画面が出てきます。その数字は、ログインしようとしているWebサイトから送信される「SMS」に書かれています。“あなたが持っているスマートフォンでしかSMSは受け取れない”と考えれば、所持情報を利用して、二段階認証が実現できますね。あとはその数字をWebサイトに入力すれば完了です。
とまあ、手軽かつセキュリティも強固になる二段階認証ですが、そこにはいくつかの落とし穴があります。
まず、このシステムの大前提となっている“あなたの持っているスマートフォンでしかSMSは受け取れない”という部分。実はこれ、海外では成り立ちません。海外の通信キャリアでは、SMSを盗聴される危険性があるため、SMSを利用した二段階認証は推奨されていません。もし、あなたが海外に出ているときは、なるべく利用しない方がいいでしょう。
ならば日本では絶対に安全かというと、そうでもありません。「認証コードを入力するWebサイトは本物なのか?」というリスクは残ります。
もしSMSやアプリなどで表示される6桁の数字を、偽サイトに入力してしまったとしたら、その裏にいる悪意ある人間が、あなたに代わって正規のサイトに入力でき、二段階認証が成立してしまいます。せっかく二段階認証を取り入れたのに、パスワードに加えて二段階目の情報までもが奪われてしまうわけです。
佐川急便の偽サイト事件を見ても分かるように、一段階目で偽サイトと気付けなかった人が、二段階認証の認証コードを入力するページが偽物だと気付けはしないでしょう。つまり、二段階認証の意味を正しく理解しなければ、せっかくの仕組みも意味がなくなってしまうのです。コードを入力するタイプの二段階認証では、そのコードはパスワードと同じく「絶対に他人に教えないこと」「サービス提供サイト以外に入力しないこと」を心掛けてください。
スマートフォンを使った二段階認証は、その仕組みを正しく理解し、正しく使えばリスクを減らすことができます。しかし、この方法にもさまざまなリスクはあります。
例えば「スマートフォンは肌身離さず持つべし」「画面ロックを設定すべし」「二段階認証のコードが通知欄にそのまま表示されないようにすべし」「二段階認証のコードが取得できないときに備えて、緊急コードを別に保管すべし」「機種変更のときにコードが消失しないように気を付けるべし」などなど、これはこれで気を付けるべきポイントが多数あるのです。
さらには、二段階認証が当たり前になったとき、犯罪者もその「当たり前」に合わせて攻撃を変えてくるはずです。その時に攻撃されるのは「二段階認証を設定しているからもう安心」という、あなたの心だと思ってください。
とはいえ、単なるパスワード認証に比べれば、二段階認証を突破されるリスクは低いです。最近では、6桁の数字を入力するのではなく、アプリを利用し、プッシュ通知でログインを許可をする方法が主流です。こちらのほうがより安全で便利でしょう。NTTドコモも、2018年8月20日からその方式の提供を開始しました。
どのような方法にせよ、まずは二段階認証に「慣れる」ことが大切です。何度かログインしてみて、正しい画面に慣れておくことが、偽サイトに対する対抗策になります。
ただし、慣れたからといって、不正アクセスによって届く「ログイン許可」に対しても何となくタップしてしまわないように。これも、気を付けるべきポイントの一つなのかもしれませんが……。
