一昔前は、財布を落としたら一大事でした。
ですが、昨今ではスマホを落とすことが命取りというレベルになってきています。
今回は、スマホに対するクラッキングであるIDとパスワードを盗み取る手法について紹介しつつ、皆さんのセキリュティレベルを向上できればと思います。
実際にQRコード決済のIDを盗まれた事例とともに紹介していきます。
では、行ってみましょう!
中国人詐欺グループ乗っ取り手口
キャッシュレス決済が普及する中、利用が増えている電子決済サービス。
PayPayや楽天Payなど多様なサービスがしのぎ削っていますが、バーコードだけで決済ができる手軽さに付け込んだ犯罪が起きているんです。
大阪府警は、他人のアカウントを不正に利用したとして、詐欺容疑で中国国籍の男性二人を逮捕しました。
男性らは、利用者を偽サイトに誘導してIDやパスワードを盗み取ることで、容易に決済ようのQRコードを入手したとのことでした。
同様の手口が相次いでいるそうです。
もう少し手口を深掘りすると、
①「最終通告」「緊急確認」というタイトルでURL付きでメールが送られてくる
②メールのURLをタップすると、本物のサイトの見た目の偽サイトに繋がる(攻撃者が用意したサイト)
③偽サイト内で、IDとパスワードの入力を求められる
④IDとパスワードが攻撃者に流出する
という形で、アカウントが流出し、不正利用されていくという流れになります。
これまで、クレジットカード番号やらネットバンキングの口座情報を手に入れる手口が多かったのが、IDとパスワードだけで決済手段を盗めるバーコード決済が狙われ始めているのです。
Auペイに限っただけでも2022年1月~11月末までで5万5949件のauペイをかたる偽メールが報告されていて、前年1年間の6倍となっています。
確実に犯行は増えていて、今後も増えていくことが予想されますので、この機会に対策をしっかりしていきましょう。
偽のサイトにはとにかく気をつける
まず、偽サイトにアクセスしないという部分について、対策していきましょう。
偽サイトにアクセスしないようにするためには、メールについているURLをとにかく怪しいものはクリックしないようにするのが大事です。
簡単な見極め方としては、URLの文字列をしっかり見てから判断するというものになります。
例えば、Amazonの場合、本物のURLは「https://www.amazon.co.jp/」です。
これが偽サイトの場合の例だと「http://wwww.amozan.co.jp/」となっていたりします。
違いがわかりますか?
・httpの後にsがあるかないか
・wwwの数が異なる
・amazonのスペルが違う
この三つが上の例では異なっていました。
中でもhttpの後のsがついているかどうかは非常に大事な部分です。
sがついていれば、とりあえず安全そうかなという考えを持って大丈夫です。
大概の偽サイトや悪質なサイトはsがついておらず、http://という形のURLになっていますので、まずはそこで見極めることができます。
続いては、スペルチェックですね。
本物のサイトがあるのであれば、そちらの比較するのもいいです(本物のサイトのURLを取得するには、Googleなどで公式サイトを検索する)
明らかにスペルがおかしそう、そもそもデタラメな文字列になっているという場合は、偽サイト、悪質なサイトであるというのが判明します。
URLをきっちりと吟味するだけでも偽サイトへのアクセスを大幅に減らすことができますので、httpのsがついているか、ちゃんとしたURLか、スペルミスはなさそうか、という部分に着目してみてください。
他にも気をつけるべき事柄
上記で紹介した対策は、フィッシングと呼ばれる攻撃に対しての防衛方法でした。
他にもアカウントを乗っ取られる事例としては、辞書攻撃、ブルートフォース攻撃があります。
辞書攻撃というのは、A社のアカウント情報が流出したときにそのアカウント情報を使って、B社のサイトにログインを試すという攻撃方法です。
こちらは、A社とB社のアカウントとパスワードが使いまわされていた場合、A社の情報が流出するとB社の情報も同時に盗まれてしまうという状況になってしまいます。
対策は簡単で、会社ごとサービスごとにパスワードを変えることです。
ややこしくなったり、面倒臭い気持ちはわかりますが、会社名やサービス名をもじったパスワードを決めたパスワードの頭につけるなどをすることで、簡単に実現と運用ができますので、取り入れてみてください。
ブルートフォース攻撃とは、デタラメな文字列のパスワードをとにかく試すという方法です。
ダイヤル式南京錠を0000~9999まで試していくイメージと同じになります。
時間はかかるものの、確実にパスワードに行き着く方法です。
これを防ぐには、7桁以上の英数字が混ざったパスワードにする、ログイン回数が決められたサービスを利用する、の二点になります。
7桁以上で英数字が混ざっていると、計算に莫大な時間がかかりますので、物理的に計算が仕切れないという面で対策になります。
ログイン回数というのは、完全にサービス側、会社側の対策になりますが、iPhoneなどの画面パスワードが良い例です。
何十回も挑戦していると、iPhone自体にログインできなくなる仕様はこのブルートフォースを防ぐために付けられた機能になります。
このログイン回数が決められているという機能があるのは、比較的安全なサービスなので、もしも何度でもログイン失敗を繰り返してもいいサービスを使っているのであれば、使用を控えるか、パスワードを非常に多い桁数にする必要があります。
まとめ
今回はアカウント乗っ取りの実例から、対策について紹介してきました。
まずは、URLのhttpsのsがついているかだけでも覚えていただけると嬉しいです。
また、身に覚えのない決済があった場合はなるべく早い対応も必要ですので、使用履歴や残高は頻繁に確認する必要があると思います。
ぜひ、対策をしっかりして、安全で快適なキャッシュレス生活を送ってください。
では、皆さんのセキリュティレベルが上がることを祈っています。
コメント