被害者が偽Webサイトに入力している、その裏で……
被害者の入力をリアルタイムで監視
Q:「リアルタイムフィッシング」ってなに?
A:従来のフィッシング攻撃をより進化させた手法で、その名の通り「リアルタイム」でフィッシング攻撃を実行してターゲットの情報を盗み取り、不正アクセスを実行しようとするサイバー犯罪。
おすすめの関連記事
インフラ会社を装ったサイバー攻撃はAndroidスマホと日本人が標的だった!
リアルタイムフィッシングの場合、ターゲット(被害者)がフィッシングサイトに誘導されて個人情報などを入力すると、その情報が即座に攻撃者の元へ送信される。
攻撃者は情報を窃取すると即時不正アクセスを試みる。たとえばクレジットカード情報を窃取したとしたら、「フィッシングに引っかかった」と被害者が気づき、カードを停止したりパスワードを変更したりといった対応をとる前に不正利用に踏みきる。
さらに、被害者がワンタイムパスワードのような2要素認証(2FA)コードを利用している場合でも、リアルタイムフィッシングであれば突破できてしまう。
フィッシングサイトで被害者にログインIDとパスワードを入力させたあと、被害者の画面にはワンタイムパスワードを入力する画面が表示される。被害者が気づかずそのワンタイムパスワードも入力してしまうと、まもなく該当のサービスは乗っ取られてしまう。
上記のあいだ、攻撃者は適宜、窃取したばかりのログインIDとパスワード、ワンタイムパスワードを本物のサイトで入力することでアカウントを奪取するというわけだ。
2要素認証は確かに不正アクセスに有効であるものの、リアルタイムに不正利用されてしまっては大きな意味をなさない。最大の対策はやはりフィッシング詐欺に騙されないことが重要である。
この連載の記事
-
第45回
デジタル
ペネトレーションテストはサイバー攻撃の「模擬戦」です -
第44回
デジタル
企業・団体は取得したが最後、厳重保護せねばならぬ「PII」とは? -
第43回
デジタル
「3Dセキュア2.0」は怪しいときだけ認証求める新システム -
第42回
デジタル
あなたの会社は対応済? 成りすまし迷惑メールを削減する「DMARCポリシー」 -
第41回
デジタル
あなたのスマホデータも裁判の証拠に!? 「デジタルフォレンジックス」ってなに? -
第40回
デジタル
個人情報を扱う企業が続々契約する「サイバー保険」ってなに? -
第39回
デジタル
「サンドボックス」が実験場ってどういうこと? -
第38回
デジタル
サイバー攻撃を引き寄せる「ハニーポット」は何のためにある? -
第37回
デジタル
「連絡先が消えた」と友だちからメッセージ。それは「LINEの乗っ取り」のサインだ! -
第36回
デジタル
AIに有名人の声を模倣させて金銭を騙し取る「AI音声詐欺」が怖い -
第35回
デジタル
「Google ダークウェブレポート」であなたの個人情報漏えいを確認 - この連載の一覧へ
