「セキュリティ対策」の「安心感」につけ込まれる可能性

本来こうした攻撃では、フィッシングサイトのURLやワンタイムパスワードが送信されてくる際のメッセージなど、探せば不審な点がいくつも見つかるはずだ。だが、チェックがおろそかになれば、たちまち黒い影が背中に忍び寄る。

無論、金融機関などサービス提供者には、こうした攻撃を事前に検知して排除したり、ユーザー側でサイトの正当性を判断できるしくみを用意するなど、フェールセーフとして、ワンタイムパスワードではカバーしない脆弱な面への対策が求められる。実際にこうした取り組みを進めている企業もある。

だが、フィッシングをはじめ、ソーシャルエンジニアリングなど攻撃者がユーザーの行動の裏を付いた攻撃を考えている。あたらしい技術が導入されれば、またあらたな攻撃手法を生み出すことは容易に想像できる。

幸い国内で被害が確認されていない。今回の事例は、ユーザーは、導入されているセキュリティ機能を理解し、限界を意識したり、重要な情報を漏らしてしまう大きな危険のひとつに「自分」がいることを、気が付くための良い機会かもしれない。

（Security NEXT - 2010/07/30 ） ツイート

PR

関連記事

「サポート詐欺」で1000万円超の被害 - ネットバンクへ誘導
GMO-PG、多要素認証による本人確認サービスを開始
OTPに利用される「OATH Toolkit」に権限昇格の脆弱性
WPプラグイン「WooCommerce Social Login」に複数の脆弱性
「サポート詐欺」で1000万円の被害 - ネット銀を遠隔操作
「三菱UFJ銀行」を装うSMSに注意 - 偽サイトに誘導
NTTドコモ装うフィッシング - 「dカード利用停止」と不安煽る
「セゾンカード」装うフィッシング - 複数文面を悪用
パスロジ、ファイル送受信用の暗号化サービス - 個人は無料
止まぬPWリスト攻撃 - 他所情報流出の影響で増加傾向も