Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「セキュリティ対策」の「安心感」につけ込まれる可能性

セキュリティ対策の実施は、より安全な環境をもたらす。当然といえば当然の話だが、そこに生まれる「慢心」や「油断」が、むしろ攻撃者のターゲットになってしまうケースも存在している。

今週RSAセキュリティは、メディア向けに説明会を実施し、ここ数カ月のスパンに携帯端末でワンタイムパスワード認証を行う金融機関を対象とした攻撃が発生していることを明らかにした。現在わかっている件数や被害のボリュームは大したものではないが、ヨーロッパを中心に複数の国や地域で攻撃が確認されているという。

攻撃の手口としては、スパムメールを利用者に送りつけ、フィッシング詐欺サイトへユーザーを誘導。サイト上でアカウント情報を入力させ、窃取した情報をもとに攻撃者が本物のサイトへアクセスし、不正送金する「中間者攻撃」だ。従来と異なる点としては、さらに利用者へ携帯電話にSMSで送信される「ワンタイムパスワード」の入力まで行わせていた点が挙げられる。

今回、携帯電話のSMS利用者が狙われたが、別経路で提供されたパスワードを窃取する攻撃が影響を及ぼすのは、なにも携帯電話に限定された話ではない。利用者が情報を入力して認証を行うシステムであれば、トークンやパスワード表を利用した認証なども、同様の危険にさらされる。

(Security NEXT - 2010/07/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

銀行装うマルウェア感染メールに注意 - 法人向けの文面なども
金融機関職員装い電話でワンタイムパスワードを聞き出す詐欺 - 情報収集のケースも
正規アプリ起動時に偽画面を最前面に表示、クレカ情報詐取する不正アプリ
デバイス証明書にも対応するクラウド向けSSOサービス - HDE
認証システム「RSA SecurID Access」に新版 - リスクベース認証を追加
ネットバンキングの不正送金、2016年は1291件で16.8億円の被害
「NEXON」装うフィッシングが再発 - 2016年末と同じ文面
「NEXON」装うフィッシング、「会員登録情報変更通知メール」で不安煽る
十八銀行で不正ログイン - 不正送金は確認されず
2016年上半期の不正送金、件数増となるも被害額は大幅減