被害者の入力をリアルタイムで監視
Q:「リアルタイムフィッシング」ってなに?
A:従来のフィッシング攻撃をより進化させた手法で、その名の通り「リアルタイム」でフィッシング攻撃を実行してターゲットの情報を盗み取り、不正アクセスを実行しようとするサイバー犯罪。
おすすめの関連記事
インフラ会社を装ったサイバー攻撃はAndroidスマホと日本人が標的だった!
リアルタイムフィッシングの場合、ターゲット(被害者)がフィッシングサイトに誘導されて個人情報などを入力すると、その情報が即座に攻撃者の元へ送信される。
攻撃者は情報を窃取すると即時不正アクセスを試みる。たとえばクレジットカード情報を窃取したとしたら、「フィッシングに引っかかった」と被害者が気づき、カードを停止したりパスワードを変更したりといった対応をとる前に不正利用に踏みきる。
さらに、被害者がワンタイムパスワードのような2要素認証(2FA)コードを利用している場合でも、リアルタイムフィッシングであれば突破できてしまう。
フィッシングサイトで被害者にログインIDとパスワードを入力させたあと、被害者の画面にはワンタイムパスワードを入力する画面が表示される。被害者が気づかずそのワンタイムパスワードも入力してしまうと、まもなく該当のサービスは乗っ取られてしまう。
上記のあいだ、攻撃者は適宜、窃取したばかりのログインIDとパスワード、ワンタイムパスワードを本物のサイトで入力することでアカウントを奪取するというわけだ。
2要素認証は確かに不正アクセスに有効であるものの、リアルタイムに不正利用されてしまっては大きな意味をなさない。最大の対策はやはりフィッシング詐欺に騙されないことが重要である。
この連載の記事
-
第49回
デジタル
日本のセキュリティ犯罪対策は「サイバー警察局」におまかせ! -
第48回
デジタル
暗号資産の利点を悪用する「マネーロンダリング」の現在 -
第47回
デジタル
私たちでは対策に限界が……「なりすましメール」に要注意! -
第46回
デジタル
サポート詐欺で有名に? 「リモートデスクトップ」ってなに? -
第45回
デジタル
ペネトレーションテストはサイバー攻撃の「模擬戦」です -
第44回
デジタル
企業・団体は取得したが最後、厳重保護せねばならぬ「PII」とは? -
第43回
デジタル
「3Dセキュア2.0」は怪しいときだけ認証求める新システム -
第42回
デジタル
あなたの会社は対応済? 成りすまし迷惑メールを削減する「DMARCポリシー」 -
第41回
デジタル
あなたのスマホデータも裁判の証拠に!? 「デジタルフォレンジックス」ってなに? -
第40回
デジタル
個人情報を扱う企業が続々契約する「サイバー保険」ってなに? -
第39回
デジタル
「サンドボックス」が実験場ってどういうこと? - この連載の一覧へ