2要素認証を回避するフィッシング攻撃に関する警告

新しい形態のフィッシング攻撃が増加

二要素認証は、サイバーセキュリティにおける標準的なセキュリティ機能となっています。二要素認証では、ユーザーは2つ目の認証手順、つまり通常はテキストメッセージ、メール、または認証アプリ経由で送信されるワンタイムパスワード（OTP）を使用して本人確認を行う必要があります。

この追加のセキュリティレイヤーは、パスワードが盗まれた場合でもユーザーのアカウントを保護することを目的としています。しかし、詐欺師は巧妙な手口を使ってユーザーを騙し、これらのワンタイムパスワード（OTP）を開示させ、OTPボットを介して2FA保護を回避しています。

OTPボットは、ソーシャルエンジニアリング攻撃を通じてOTPコードを傍受するために詐欺師が使用する高度なツールです。攻撃者は、フィッシングやデータの脆弱性を悪用した情報窃取などの手法を用いて、被害者のログイン認証情報を盗み出そうとすることがよくあります。

次に、攻撃者は被害者のアカウントにログインし、OTPコードを被害者の携帯電話に送信します。次に、OTPボットは信頼できる組織の従業員を装って被害者に自動的に電話をかけ、事前にプログラムされた会話スクリプトを使用して被害者にOTPコードを開示するよう仕向けます。最終的に、攻撃者はボットを通じてOTPコードを受け取り、それを利用して被害者のアカウントに不正アクセスします。

詐欺師は、被害者がテキストメッセージよりも音声通話を好む傾向があります。音声通話の方が反応が早い傾向があるためです。そのため、OTPボットは人間の通話の口調や緊急性を模倣することで、信頼感と説得力を生み出します。

OTPボットを使用するには、詐欺師はまず被害者のログイン情報を盗む必要があります。多くの場合、詐欺師は銀行、メールサービス、その他のオンラインアカウントの正規のログインページと全く同じように見えるフィッシングサイトを利用します。被害者がユーザー名とパスワードを入力すると、詐欺師はこれらの情報を瞬時に（リアルタイムで）自動的に収集します。

カスペルスキーの統計によると、2024年3月1日から5月31日までの間に、同社のセキュリティソリューションは、銀行を狙ったフィッシングツールキットによって作成されたウェブサイトへの653,088件のアクセスを阻止しました。

これらのサイトから盗まれたデータは、OTPボット攻撃によく利用されます。同時期に、サイバーセキュリティ企業は、2要素認証をリアルタイムで回避するように設計されたツールキットによって作成されたフィッシングサイト4,721件も検出しました。

解決

2FAは重要なセキュリティ対策ですが、万能薬ではありません。巧妙な詐欺からユーザーを守るために、サイバーセキュリティの専門家は以下のことを推奨しています。

- 疑わしいメール内のリンクはクリックしないでください。組織のアカウントにログインする必要がある場合は、正確なウェブサイトのアドレスを入力するか、ブックマークを使用してください。

- ウェブサイトのアドレスが正しく、誤字脱字がないことを確認してください。Whoisツールを使ってウェブサイトの登録情報を確認できます。ウェブサイトが最近登録された場合は、詐欺の可能性があります。

- たとえ相手がどれほど説得力のある人物に見えても、決して電話でOTPコードを伝えないでください。銀行やその他の信頼できる組織は、本人確認のために電話でOTPコードの読み取りや入力を求めることはありません。