再利用可能!?ソーシャルIDフィッシング

IT・IT製品TOP > Key Conductors > 小坂 嘉誉(CA Technologies ) > 再利用可能!?ソーシャルIDフィッシング
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

再利用可能!?ソーシャルIDフィッシング

エンドポイントセキュリティ 2013/05/21

前回は、ソーシャルネットワークで利用されるスマートデバイスを狙う不正アプリケーションの脅威を説明したが、今回は、さらに直接的にソーシャルID情報を盗む脅威とその対策について考察する。

【ユースケース5】ソーシャルIDフィッシング

フィッシング詐欺とは

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

フィッシング詐欺とは
 ソーシャルIDフィッシング、いわゆるフィッシングとは正規の企業を騙り、メール等でユーザに偽ログイン画面や偽アプリケーションへのURLを配布し、ユーザのIDやパスワード、銀行口座番号やクレジットカード番号を取得するといったタイプの不正行為である。

 たとえば、日本国内で多くのユーザを抱える“mixi”からは、2013年4月8日にフィッシング詐欺への注意を促す、以下のお知らせが出ている。
【重要なお知らせ:mixi を騙った悪質なフィッシング詐欺にご注意ください】
このお知らせによると、ミクシィのID/パスワードを不正に取得するmixiメッセージが不特定多数のユーザに送信されていることがわかる。サイトにはそのフィッシング詐欺メッセージの例が示されている。
たとえば、「mixi運営部」を名乗り、「mixi偽造登録などが多発しております。お客様の登録ID(アドレス)、パスワード確認にご協力ください。」といった内容で不正に登録ID/パスワードを入力させるというものだ。

【ユースケース6】再利用される“ID/パスワード”

 さて、ユーザの中には「ソーシャルID/パスワードが盗まれるだけであれば、オンラインバンキングのID/パスワードが盗まれる場合に比べて実被害は少ないのでは?」と思われる方もいるかもしれないが、それは大きな間違いである。というのも、多くのユーザが同じID/パスワードを別のサイトで流用するという事実があるためだ。第一回:ユースケースで考える!ソーシャルネットワークとセキュリティでも話題としたがWebのサービスを利用しようとするたびに、ID/パスワードの登録を求められる現実を考えると、「面倒だから、なるべく同じID/パスワードを利用してしまおう」と考えるユーザは残念ながら多数存在する。

 たとえば、ネットオークションを運営するヤフーによると、毎日膨大な量の不正アクセスからユーザを保護しているが、2年ほど前から実在するID/パスワードを利用して、一度もパスワードを間違えることなく不正侵入に成功するケースが出ていると報道されている。  
同社はこれを「百発百中攻撃」と呼んでいる。「Yahooと同じID/パスワードを他でも使い、それが盗まれて不正侵入に悪用されたようだ。これでは防げない」との言葉に、ユーザのID/パスワードの使い回しの事実が伺える。

■【対策】ユーザの注意喚起と二要素認証

 フィッシング対策に王道はない。ユーザは、mixiの例でもあるように怪しいメッセージやメールの添付を開かない、URLをクリックしないなどの対策を徹底することが肝心である。

 一方、企業側は、ユーザへの周知徹底がまず重要である。最近は、銀行のオンラインバンキングサイトのトップページで注意喚起を促す情報が掲載されているのを見るケースが多くなったが、それも周知徹底の一環である。  
更に、オンラインバンキングのように直接金銭の授受が発生するような、非常にクリティカルなシステムの場合、単にID/パスワードだけでなく、もう1つの認証要素を利用する場合もある。一般的に使われている例としては、乱数表をあらかじめ顧客に郵送し、振込処理の場合にその乱数表のうちの一部をID/パスワードに追加して入力させるというものである。実際に使われている方も多いのではないだろうか。

乱数表のフィッシング

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

乱数表のフィッシング
 これは、いわゆる認証の三要素「What you know(知っていること)」「What you have (持っているもの)」「What you are (あなた自身)」のうち、2つの要素を利用することから「二要素認証」と呼ばれる認証方式である。上記の場合には、ID/パスワードが「What you know(知っていること)」もの、乱数表が「What you have (持っているもの)」もの、その二要素を利用しているためID/パスワードが万一盗まれても、即座に不正送金はされないので「What you know(知っていること)」だけの一要素よりは安全となる。

 ただし、この乱数表のセキュリティ強度はあまり高いとはいえない。実はこの乱数表のすべての数字を入れさせるフィッシングサイトが数多く立ち上がっており、実際に被害も報告されている。
そのため、1分間で変わる“1度しか使えないパスワード”を生成する「ワンタイムパスワード」機器を配布したり、証明書を顧客の各端末にダウンロードして、ID/パスワードが盗まれても、証明書が存在する自分の端末でないとログインできないなどの新しい認証方式なども採用されるようになっている。機器の持ち歩きなどの不便を考えると、今後はソフトウェア証明書の形式も有力になっていくかもしれない。

 企業側で、ユーザのID/パスワードの使い回しを制御することはできないことを考えると、利用するサービスに対して、「二要素認証」を取り入れることも考慮する必要があるのではないだろうか。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006195


IT・IT製品TOP > Key Conductors > 小坂 嘉誉(CA Technologies ) > 再利用可能!?ソーシャルIDフィッシング

このページの先頭へ

キーマンズネットとは
ソリューション技術本部 プロダクトソリューション部 マネージャ。1997年CA Technologies入社。2004年よりアイデンティティ/アクセス管理製品担当。シングルサインオン、ID管理、フェデレーション、2要素認証などのIAM領域の提案活動に従事。CISSP。

ページトップへ