「セキュリティ対策」の「安心感」につけ込まれる可能性
セキュリティ対策の実施は、より安全な環境をもたらす。当然といえば当然の話だが、そこに生まれる「慢心」や「油断」が、むしろ攻撃者のターゲットになってしまうケースも存在している。
今週RSAセキュリティは、メディア向けに説明会を実施し、ここ数カ月のスパンに携帯端末でワンタイムパスワード認証を行う金融機関を対象とした攻撃が発生していることを明らかにした。現在わかっている件数や被害のボリュームは大したものではないが、ヨーロッパを中心に複数の国や地域で攻撃が確認されているという。
攻撃の手口としては、スパムメールを利用者に送りつけ、フィッシング詐欺サイトへユーザーを誘導。サイト上でアカウント情報を入力させ、窃取した情報をもとに攻撃者が本物のサイトへアクセスし、不正送金する「中間者攻撃」だ。従来と異なる点としては、さらに利用者へ携帯電話にSMSで送信される「ワンタイムパスワード」の入力まで行わせていた点が挙げられる。
今回、携帯電話のSMS利用者が狙われたが、別経路で提供されたパスワードを窃取する攻撃が影響を及ぼすのは、なにも携帯電話に限定された話ではない。利用者が情報を入力して認証を行うシステムであれば、トークンやパスワード表を利用した認証なども、同様の危険にさらされる。
(Security NEXT - 2010/07/30 )
ツイート
PR
関連記事
「三菱UFJ銀行」を装うSMSに注意 - 偽サイトに誘導
NTTドコモ装うフィッシング - 「dカード利用停止」と不安煽る
「セゾンカード」装うフィッシング - 複数文面を悪用
パスロジ、ファイル送受信用の暗号化サービス - 個人は無料
止まぬPWリスト攻撃 - 他所情報流出の影響で増加傾向も
ネットバンク不正送金被害が8月下旬より急増 - わずか2カ月で上半期上回る勢い
中小企業の3分の1、直近3年間のセキュ投資ゼロ - 「必要性を感じない」
2021年上半期の不正送金は376件 - 半数以上がOTP利用も被害
「GUARDIANWALL」に添付ファイルのダウンロードリンク化機能
「ファミマTカード」を装うフィッシング攻撃に注意 - T会員番号なども詐取
