このページの本文へ

Office 365の多要素認証を回避するフィッシング詐欺とは

2022年07月29日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

多要素認証がやぶられる?

 正規のサービスなどをよそおったメールで、ニセのサイトに誘導させ、クレジットカード情報やログイン情報(IDとパスワードなど)を盗み出す「フィッシング詐欺」。被害に遭ったというニュースを聞いたことがある人も多いはずだ。

 フィッシング詐欺への対策として、パスワードだけではなくSMSなどで送られてくるコードや生体情報を組み合わせる「多要素認証」が挙げられることがある。一方、この多要素認証を回避するための手口も出てきている。

 マイクロソフトのセキュリティ研究チームが、7月、大規模なフィッシング攻撃キャンペーン「Adversary-in-the-Middle(AiTM)」を確認したと発表した(From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud - Microsoft Security Blog)。

 この「AiTM攻撃」は、添付ファイルを含むメールが送信されるところから始まる。受け取った側が添付ファイルを開くと、偽のOffice 365のログインページにリダイレクトされてしまう。

 ここまでなら、普通のフィッシング詐欺と同じように思える。しかし、AiTM攻撃は、ターゲットと偽のサイトの間に、プロキシサーバーが展開されているところが特徴。

 もし、ユーザーが偽のサイトにパスワードなどを入力したとしよう。偽サイトは、アクセスした側のHTTPパケットをプロキシサーバーに展開するようになっており、ログイン情報だけでなく、セッションCookieなどのデータをも盗まれてしまう。

 セッションCookieは、ファイルシステムに保存されず、クライアントのメモリー(ウェブブラウザーなど)にセッションが終了するまでの間だけ保存されるものだ。本来は、認証済みのユーザーが、セッションを続けられるように使われるもの。

 AiTM攻撃の場合、ユーザーの認証情報(パスワードなど)とあわせて、セッションCookieも窃取し、両方を組み合わせることで、多要素認証を回避し、Outlook Onlineに不正アクセスできるようになるという。

 これに際してマイクロソフトは、認証技術の一つである「FIDO(Fast IDentity Online) v2.0」に準拠した生体情報、あるいは物理セキュリティキーを使う認証方法なら、セッション情報を詐取されることはないと指摘し、すべての多要素認証がAiTM攻撃で破れるわけではないとする。

 マイクロソフトによれば、そもそも、AiTM攻撃が出てくること自体が、多要素認証の有効性を証明しているという。セキュリティが強固であるがゆえに、わざわざAiTM攻撃のような手段を用意しなければ、個人情報を窃取できない……というわけだ。よって、多要素認証を設定しておくことで、アカウントの盗難などに対するセキュリティが強固になることは変わらないとしている。

個人情報の入力は、公式のアプリや
ブラウザのブックマークなどからのアクセスで

 前述したAiTM攻撃のような事例もあるが、フィッシング詐欺などに対して、多要素認証がよりセキュリティを強固にするものであることは変わらない。不正アクセスのニュースなどが絶えることのない昨今、サービスが対応していれば必須で設定しておきたい。

 また、あわせて気をつけたいのはパスワードの使い回しだ。あるサービスで利用しているパスワードが流出してしまった場合、ほかのサービスでも同じパスワードを使いまわしていていると、それらにも不正アクセスされる可能性があるので、厳禁といえる。

 条件さえそろえば多要素認証を回避できるAiTM攻撃であっても、まずはフィッシングメールを送ってくるという手口であったことを忘れないようにしたい。つまり、一般的なフィッシング詐欺と同じく、メールが送られてきた時点で気がつけば被害に遭わない。

 よって、URLへのアクセスや、添付ファイルの展開などをうながすメールが来ても、しっかり確認することが肝心だ。リンクは開かずに無視し、SMSなどが来ても削除しておこう。

 万一サイトを開いてしまった場合でも、個人情報やパスワードなどは入力しないようにしたい。多くの場合、開いただけでは被害がないので、落ち着いて行動すれば問題はない。

 また、よく利用するサービスへのアクセスとログインには、公式のアプリや、ブラウザのブックマークなどからのアクセスを心がけたい。メールなどで送られてくるリンクは開かず、アプリやブックマークからしかアクセスしないようにすれば、フィッシング詐欺に遭う可能性は低くなる。

 IDやパスワードを入力するメッセージなど、疑わしいメールに関しては、公式サイトのヘルプデスクなどから問い合わせて確認してみてもよい。不審に思った場合や、トラブルにあった場合は、最寄りの消費生活センターなどに相談する手段もある。

 個人情報を保護する意識を持つために、今回はMcAfee Blogから「解説:デジタルアイデンティティの保護について」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

解説:デジタルアイデンティティの保護について:McAfee Blog

現在、インターネットを使用する割合が高い20〜30代の人々を中心にオンライン上でデジタルアイデンティティを盗まれたり、勝手に無断転載されてしまうという事件が頻繁に起きていますが、実はそれは自分達のお金や財産を失うのと同じことを意味しています。

デジタルアイデンティティとは、簡単に言えば、インターネット上でのあなた自身の姿です。それはインターネット上でのあなた自身に関連した、ありとあらゆる情報をもとに作り上げられています。例えば、SNSなどのオンライン上に投稿した写真、オンラインショッピングのアカウント、Eメールのアカウント、電話番号、銀行口座、クレジットカード情報、納税者番号など、さまざまなものがあります。

このように、デジタルアイデンティティは、さまざまなアカウントやID番号などで構成された何十個ものジグソーパズルのピースのようなものです。それらの情報を一つにまとめることで、あなたという人物の姿が浮かび上がってきます。だからこそ、ハッカーにとって、あなたのインターネット上でのアイデンティティを構成する小さなジグソーパズルのピースは魅力的なターゲットであり、うまく組み合わせられてしまうと、窃盗や詐欺の被害に遭う可能性が高くなってしまいかねません。

ミレニアム世代は詐欺の恰好のターゲット

アメリカでは20〜30代の人々がオンラインショッピングでお金を失ったと報告する割合は、40代以上の人の2倍に上ります。米国連邦取引委員会(FTC)が最近、発表した数字によると、詐欺被害の報告で、他の年代と比べても特に20〜30代の人が詐欺に遭う確率がはるかに高いということが明らかになっています。さらにEメールによる詐欺でお金を失う確率は77%と、高齢者のと比べてもより高い確率となっていることがわかります。

一方、日本ではこれまで多かった詐欺案件は主にお年寄りをターゲットしたことが多かったですが、最近は詐欺行為自体がより巧妙化しています。新型コロナウイルス感染症関連の給付金などを利用した詐欺をはじめ、SNSでの投稿からアカウントの情報を盗み、インターネット上で個人情報がさらされたことで仕事や私生活に支障をきたしてしまうという被害が増えています。

また、フィッシング対策業議会のインターネットサービス利用者に対する 「認証方法」に関するアンケート調査結果報告書によると、20〜30代の実に7割以上がGoogleやYahoo!などの総合サービスや、FaecbookやTwitter、InstagramなどのSNSの個人アカウントを、他のサービスに会員登録やログインする際に利用していると回答。こういったことが原因で個人情報が漏洩してしまい、結果的に急増しているフィッシングメールなどの詐欺被害に遭ったりしていると推測されます。

しかし、このように若年層が狙われるのはある意味、当然のことかもしれません。その理由として、若年層はモバイルアプリを利用した個人間の支払いや口座間の送金、入金確認、請求書の支払いなどを行う可能性が、他の年齢層よりもはるかに高いということがいえます。近年、インターネット上でお金の取引が簡単になったことで、携帯電話やパソコンを利用すれば誰でも気軽にお金を動かすことができるようになり、それが詐欺などの被害増加にも繋がっているといえます。

ハッカーからの攻撃や詐欺から身を守るためにはまず、自分のデジタルアイデンティティを守る必要があります。デジタルアイデンティティにはさまざまな情報が含まれているため、これはとても壮大で途方もなく、個人の力では到底太刀打ちできないような課題のように感じられます。しかし、自分のアイデンティティをジグソーパズルのように考えれば、実は案外、解決できるかもしれません。もし、複数のパズルのピースを盗まれて完成させられてしまったらハッカーたちにお金を提供してしまうことになりますが、パズルのピースがそろわなければお金は奪われることはないでしょう。したがって安全を確保するためには、パズルのピースを他人の手に渡さないように注意することが大事です。

ハッカーや詐欺からデジタルアイデンティティを守るための6つの方法

これに関しては、実はそれほど難しいことではないのです。例えば、あなたのデジタルアイデンティティを守るための手助けになるようなアプリを試してみるなど、いくつか新しい習慣を身につければ、詐欺の痛みに一切悩ませられることもなく、自分で自分自身を守ることができるでしょうここでは、すぐに始められる簡単な方法を紹介します。

1. 基本であるセキュリティソフトの導入

自分の事は自分自身で守るために、まずはパソコンや携帯電話にセキュリティソフトをインストールして使用することで、インターネット上でのあらゆる攻撃を防ぐことができ、ネットサーフィンやネット銀行での決済、オンラインショッピングなどをより安全に行うことができます。そして、ここでもう一度強調しておきたいのは、スマートフォンをはじめとする携帯電話の保護対策の重要性です。タクシーを呼んだり、デリバリーで食事を注文したり、友人にお金を送ったりと頻繁に携帯電話を使っているにもかかわらず、実は携帯電話を保護対策を行なっている人は約半数ほどしかないと言われています。オンライン上で保護されている時と比べて、携帯電話を何も保護されていない状態のまま、インターネット上でお金を送金したりするなどすることは大変危険で安全性とはかけ離れているということを意味します。

2. 強力なパスワードを作る

インターネットのセキュリティ対策として、これまでよく耳にされた方も多いとは思いますが、強固でユニークなパスワードはハッカーからの攻撃に対する最大の防御策のひとつです。SNSなどさまざまなオンライン上でのプラットフォームやサービスでパスワードを使い回さないようにしましょう。また、定期的に(少なくとも60日ごとに)パスワードを更新することも忘れないでください。これは一見、面倒な作業に思えますが、パスワードマネージャーがすべてを管理してくれるので問題ありません。また、使っているプラットフォームやサービスで2段階認証が利用できる場合は、ぜひ活用してください。2段階認証をすることで、セキュリティ対策がより強力になり、犯罪者からのハッキングを防ぐことに役立ちます。

3. 最新版にアップデートし続ける

最新版へのアップデートは携帯電話やパソコンに毎日のように表示され、ついつい後回しにしたくなります。しかし、そんな気持ちを抑えてできるだけ早くアップデートするようにしましょう。アップデートには、機能の向上や改善だけでなく、セキュリティ面での修正も含まれていることがよくあり、実はとても重要なことです。携帯電話やパソコンなどの端末でOSやアプリから通知が表示されたら、すぐにアップデートしてください。ハッカーたちはアプリの古いバージョンの欠点を悪用しようとしてきます。OSやアプリをアップデートするということは、それらから身を守るもう一つの防御策だと考えておきましょう。

4. 共有するときは一度立ち止まってよく考えてみる

近年、人々はソーシャルメディア内で必要以上に情報を共有してしまいがちですが、それはハッカーたちにとって、個人情報を盗むために利用する格好の場所になっているといえます。誕生日や、過去に通っていた学校名、母親の旧姓、最初に乗った車の種類などの情報があれば、一般的なセキュリティ対策でよくある質問に答えることができ、アカウントに侵入することができます。自分のアカウントのプライバシー設定の強度を上げて、友人や家族しか自分の投稿を見ることができないように設定しておきましょう。また、ソーシャルフィードに時々表示される「クイズ」も注意が必要なので、避けた方がいいでしょう。これらはあなたのデジタルアイデンティティを危険にさらす可能性のある情報をハッカーたちが得ようとする方法でもあります。

5. 個人情報等が明記されている紙の書類はシュレッダーにかける

多くの人が請求書のペーパーレス化を進めていますが、ゴミ箱をあさって個人情報を盗む「ダンプスター・ダイビング」は依然として存在します。医療費の請求書、税金関係の書類、小切手などが、あなたの家の郵便受けに届くことがあります。それらは使い終わったら破棄したくなるでしょう。なのでまずはシュレッダーを購入しましょう。そして、オンラインで入金や支払いの確認を済ませたら、その請求書は個人情報や口座情報が読めないようにシュレッダーにかけてから捨てましょう。そうすることで安全にリサイクルすることができます。また、もし外出の際には信頼できる友人に郵便物を受け取ってもらうか、一時的に郵便局で預かってもらうことをおすすめします。そうすれば、あなたがいない間に郵便受けから個人情報が盗まれるのを防ぐことができるでしょう。

6. 自分の信用情報を確認する

自分で問題ないと思っていても、実は何か問題があるかもしれないので、まずは自分の信用情報を確認してみるといいでしょう。実は知らないうちに、あなたの名前で何か請求されている可能性も十分に考えられます。

自分のIDが盗まれていないかどうかを確認する方法

先ほど言及したように自分のIDに何が起こっているかを知る最も早い方法は、日本国内の場合は、日本信用情報機構(JICC)で自分名義のクレジットカード情報などの信用情報をチェックすることです。IDの盗用は金銭だけではありません。詐欺師たちはアパートを借りるため、医療サービスを受けるため、さらには仕事を得るために他人のIDを盗みます。もし仮にIDが盗まれて悪用されていたとしたら、例えば現在と過去に居住履歴リストに身に覚えのない住所が表示されていたり、働いたことのない会社が雇用主として明記されていたりと、そのような情報が信用調査書に記載されています。何かおかしなことがあったら、すぐに確認してましょう。多くの企業には不正防止部門があり、もし自分の名前を使って不当に請求された料金やサービスを発見した場合には、あなたを助けるための手続きを行っています。他の兆候はもっとはっきりしており、回収業者から電話が連絡がきたり、納税通知書が郵便受けに入っていたりすることもあるかもしれません。こういったケースには明らかに「IDが盗まれて悪用されている」というサインなので、できるだけすぐに報告するようにしましょう。

 ・もし日本国内在住者で誰かが自分の個人情報を使用していると思われる場合は日本信用情報機構でご確認ください。
 ・もしアメリカに住んでいて誰かが自分の個人情報を使用していると思われる場合はIdentityTheft.govを確認ください。
 ・カナダではCanadian Anti-Fraud Centreにて、相談することができます。
 ・また、イギリスではイギリス国内の詐欺防止サービスであるCIFASで確認ください。

上記のように他の多くの国の政府が同様のサービスを提供しています。検索すればすぐに出てくると思いますので、上記以外の国に在住の方などで気になる方は一度調べてみることをおすすめします。

もうひとつの方法としては、各信用調査機関に自分の信用情報の凍結を依頼することです。これにより、詐欺師たちがあなたの個人情報を使って、あなた名義の新しいクレジットカードの作成や口座を開設するのを防ぐことができます。その他の不正行為の警告について、より知りたい方はこちらの詳細をご覧ください。

デジタルアイデンティティを守るために

デジタルアイデンティティを構成する情報は非常に多く、広範囲にわたってその安全性を確保するための方法としては、「もし誰かがこの情報を手に入れたらどんなことが起こるのだろう?」と自問自答し続けることが重要です。さらにどんな小さな情報であっても、保護されていなければ、自分の名前を使った詐欺や窃盗につながる可能性があることを十分に理解しておく必要があります。シュレッダーにかけられていない請求書や、わずか数ドル分の小切手であったとしても、それは犯罪者が必要とするパズルのピースになり、犯罪に巻き込まれてしまう可能性があります。そういった情報を他人の手に渡らないように日々気をつけて行動することがデジタルアイデンティティを安全に保つことに繋がるといえるでしょう。

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ