金融機関の二段階認証を、意外な方法で破る手口発生。二段階認証を過信せず注意

金融機関やネット銀行を使うときは、二段階認証・トークンを活用すれば大丈夫。

担当者も含め多くの人が思っていましたが、

二段階認証を破る不正送金の事例が急増ということで、非常に驚きました。

(二段階認証に関する不正送金の参考記事)

先週のサイバー事件簿 - 金融機関の2段階認証を破る不正送金が急増中
12月13日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。ネットバンキングを利用している人は、改めてセキュリティ意識を高めたほうがよさそうだ。金融機関の2段階認証を突破して不正送金されるケースが急増している。

 

スポンサーリンク

二段階認証を破る手段は、予想以上にベタだった

 

手口については、二段階認証をそのものをやぶるという手口ではなく、

フィッシングサイトへの誘導は従来通り。一例として、偽SMSでフィッシングサイトへ誘導してIDとパスワードを盗み、そのIDとパスワードを使って正規サイトへ不正ログイン。さらに正規ユーザーに届く2段階認証用のコードも偽サイトを使って盗んで、不正送金を完了させる。

ということで、ID、パスワードを入れさせた上に、二段階認証をユーザーに確認させ、その二段階認証で不正ログインを行うという、蓋を開けてみると単純な手口です。

 

二段階認証をしているから安心、トークンや認証番号カードがあるから安心とは言い切れません。フィッシングで口座情報を盗む場合は、案外単純な手口で二段階認証を突破してしようときます。

 

このような単純な手口と言え、フィッシングをする側は焦らせる文言を入れています。

 

「30分以内に対応して下さい!」

「あなたのクレジットカード口座が第三者によって使用されていることを検知したので、あなたの口座が資金の安全のために凍結されたのですが、すぐにWEBサービスIDとパスワードを再登録して、制限を解除しなければなりません」

 

など、焦らせる文面(結構日本語に不自然がありますが・・・)などで緊急対応をするような文面になっていますが、こういうときこそ冷静に対応することが必要です。

 

非常にアナログな手口となりますが、特に金融機関・クレジットカード会社の場合、不安な場合は電話窓口に連絡、(メール記載の番号はダメ!カードの裏面かしおり、もしくは正規サイトの問い合わせ窓口から電話)確認をすることが大切です。

 

また、金融機関・ネット銀行等は独自のセキュリティソフトを導入している場合も多く、またそれ以外の場合でも、「フィッシング対策が可能なセキュリティソフトウェア」を導入し、細心の注意を払ってアクセスした方が良いでしょう。

 

また、金融機関によってはIP制限サービスといい、自宅・特定箇所以外からのアクセスをはじいたり、国外からのアクセスをはじくことが出来るサービスもあるため、できるだけONにした方がよいでしょう。

 

金融機関が対応している場合は、金融機関対応のセキュリティ対策ソフトを利用することが確実ですが、ブラウザとの相性問題で、動作に不具合が出るケースもあります。(後ほど紹介する有料セキュリティソフトウェアも含め)

 

ブラウザの更新が、Edge、Firefox、Chromeともにすぐ更新されるため、対策ソフトウェアもあわせたアップデート確認を行うことが大切です。

 

三菱UFJ銀行・みずほ銀行などが対応する無料フィッシング対策ソフトウェア IBM TRUSTER Rapportと三井住友銀行グループのPhishWallプレミアム

MUFG・みずほ銀行など大手の銀行が無料で提供するソフトウェアがIBM TRUSTER Rapportです。

また、三井住友銀行も、PhishWallプレミアムを無料で提供しています。

どちらも、セキュリティを重視する関係上、独自の使い勝手、他のソフトとのコンフリクト(ただし、セキュリティ対策ソフトなどとの併存はOK)に注意しながら使っていくと良いでしょう。

 

別ページで、Emotet・ZeroCleareなどの対応状況を紹介した有料セキュリティソフトも、多くのソフトがフィッシング対策のブラウザ機能を内蔵しています。(ESETインターネットセキュリティ・ノートン360、ウイルスバスター・カスペルスキーなど)

 

スポンサーリンク

さらに最近多い、スマホへのフィッシングメールやSMSに注意!!

最近は、PCよりもスマホやSMS・チャット・Line経由にてリンクを開くことも多いかと思います。

 

当然、スマホ経由ですと、金融機関提供のソフトウェアを用意しているところは少ないため、フィッシングに合いやすい余地があります。

 

さらに、国際SMSの場合、実在する送信者を偽ることも出来てしまいます。

(詳しい仕組みは、こちらのFNNのサイトに掲載されています)

 

特徴などを上記サイトより引用すると、

  • 国際SMSは、海外の通信網を使ってSMSを送信できる仕組み
  • 送信者は送信者名を、英数字の中から自由に設定できてしまう
  • 国内のSMSは送信者側にも電話番号が必要だが、国際SMSはその制約がない。
  • 国際SMSの配信自体は、配信事業者を通して国内からでも送信できてしまう
  • 正規企業からのSMSと同一画面に表示されるため、送信元で判別することは難しい
  • 普段来ないような文言でメッセージが来たり、本文内のリンク(URL)に不自然な点が見られる場合は、すぐリンクをクリックするのではなく、一度メッセージ本文を検索サイトなどで調べてみる。同様の被害に遭っている方の書き込みやセキュリティ会社の注意喚起が見つかる可能性あり

 

などの特徴があり、正規のメールやinfoなどのタイトルのメールに混じってしまう可能性があるのが怖いといえます。

 

このような、スマホに対するフィッシングメールに対しても、普段から注意するか、

iOS・Android問わず、危険サイトからの保護・詐欺サイトからの保護・有害サイトフィルタリングを謳うソフトウェアを利用するのが安全でしょう。

 

Android・iOS両方のフィッシング対応機能があるソフトウェアを紹介

 

カスペルスキーインターネット

Androidのウイルス対策やフィッシングサイトへのブロックだけでなく、iOS(IPhone)のフィッシングサイトも可能です。

 

ウイルスバスター

iOSのSMSスキャン、iOS・ANdroid上で不正サイトへのブロックを行います。

 

詐欺ウォール

ソフト名がストレートで、Windows、Mac、iPhone、Androidなど一通りのOSに対応しています。

さらに、SNSアプリのブラウザ対応(Android版のみ)・VPN通信を使ったiOSでSafari、アプリ内ブラウザに対応するなど、より他社より詐欺サイト・フィッシングサイト対策に特化した印象です。

ソフトの動作・ふるまいにはAmazonレビューで賛否両論であるため、ストレートにはおすすめしにくい製品ではありますが・・・。

 

以上、対策ソフトウェアなども含め挙げましたが、やはり大切なのは冷静な対処と、自信がない場合はPC/スマホともセキュリティ対策ソフトウェアの導入が重要と言えます。

 

Androidは以前からウイルス対策などセキュリティ対策の重要性が叫ばれていましたが、セキュリティが元々強固と言われるiPhone・iPadなどのiOSも、フィッシングメールには対応しきれないので、判別する自身がない場合、「自分もひっかかるかも・・・」という場合は対策ソフトウェアの導入を検討するのが望ましいかもしれません。

 

典型的なフィッシングメール事例-作り方が巧妙化