「セキュリティ対策」の「安心感」につけ込まれる可能性

誤解しないようにしなければならないのは、こうした問題の原因が必ずしも個々のセキュリティソリューションにあるわけではないことだ。むしろソリューションに対する「過度な期待」や「誤解」「思い込み」こそ問題といえるかもしれない。

たとえば、携帯電話へワンタイムパスワードを発行するサービスでは、「毎回使い捨てのパスワード」「本物の金融機関から認証のメールが届く」など、実際にセキュリティを向上させる側面があり、有効なソリューションだ。

とはいえ万能ではない。攻撃者が偽サイトでパスワードを入手し、本物のサイトで悪用されれば、不正ログインを許してしまう。そもそもそのような攻撃を防ぐために用意されたソリューションではないのだ。

困るのは、「セキュリティが強化されれば、攻撃を受けることはない」と誤った理解や油断が利用者側に存在することだ。

（Security NEXT - 2010/07/30 ） ツイート

PR

関連記事

「サポート詐欺」で1000万円超の被害 - ネットバンクへ誘導
GMO-PG、多要素認証による本人確認サービスを開始
OTPに利用される「OATH Toolkit」に権限昇格の脆弱性
WPプラグイン「WooCommerce Social Login」に複数の脆弱性
「サポート詐欺」で1000万円の被害 - ネット銀を遠隔操作
「三菱UFJ銀行」を装うSMSに注意 - 偽サイトに誘導
NTTドコモ装うフィッシング - 「dカード利用停止」と不安煽る
「セゾンカード」装うフィッシング - 複数文面を悪用
パスロジ、ファイル送受信用の暗号化サービス - 個人は無料
止まぬPWリスト攻撃 - 他所情報流出の影響で増加傾向も