Cynalytics

interesting future

News Security

2段階認証が突破される、サイバー攻撃の新手口

更新日:

2019年9月ごろから、Googleアカウントを狙ったフィッシング詐欺の被害が相次いでいます。その攻撃の矛先は不特定多数の一般人ではなく、動画投稿で収益を得る「YouTuber」(ユーチューバー)の人たちです。手口も比較的新しい手法で、Googleの二段階認証を突破して不正ログインする方法が用いられています。

ITmedia

二段階認証とは何か?

2段階認証とは、IDやパスワードとは別に、スマートフォン等の番号に
設定等で紐づける事により、ログインの際にIDとパスワード以外に
紐づけた端末で発行される一時パスワードでの認証が必要になる現代の主流の認証方法です。

必要性

現状のセキュリティで言えば必須レベルとなって居ます。
サイバー攻撃においては利用のサービスと携帯端末を紐づけた上で
更にそこに発行される一時パスワードの認証まで突破するのは非常に難しいからです。
ただ、今回はこれを破られているわけですから、皆さまにもその手口の仕組みと対処法を合わせてお伝えします。


手口

基本的に先述のように二段階認証と言うのは破るのが困難な認証方法です。
その為今では広く使われる認証システムとなって居ます。

ネットワーク上でそれらの認証を破るのが難しいのであれば、やはり利用者を巧妙に誘導して自分の代わりに認証をさせるという手法がとられます。

人間の心理をうまく付いた手法で、日本でも俺俺詐欺から始まり還付金詐欺や警察を装った詐欺が今でも被害を出していますが、ある意味これに似た形で行われます。

先ずはメールでダミーサイトへと誘導する。

今回のケースで言えばYoutubeの運営元であるGoogle。
こちらからのメールを装って被害者当てにメールが届きます。

そして届いたメールから被害者がURLをクリックして
Googleのログインページにそっくりのサイトへと誘われます。

以前までならこの様なダミーページで利用者がログインをすると
入力したパスワード等が記憶されるといった形でしたが、それでは2段階認証が突破出来ません。
今回はIDとパスワードを入力するのと同時に、ダミーサイト側からもGoogleに実際にログインを試みます。

そして一段階目の認証が通ると、通常通りに二段階様に設定した端末のほうに認証の要求が来ます。
それはもちろんGoogleから来るので利用者も信頼してそれに許可を出します。

そしてダミーサイトを通じて二段階目の認証が終わると
攻撃者も利用者と同じ様にアカウントにログインができてしまい
管理者の権限を剥奪して乗っ取りが完了という事になります。

目的は広告収入か

今回ターゲットとなって居るのがYoutuberです。
Youtuberはyoutubeにアップしている動画に広告を載せる事で利益を得ていますね。

とはいえ、動画で広告を載せて収益を得るまでには運営側から認証される必要があり、一定以上のチャンネル登録者数や閲覧数等が必要になるそうです。

その為、不正に広告収入を得るために既に収益化をしているチャンネルを乗っ取る事でそれを手にしようとしているわけですね。

基本的にサイバー攻撃は利益の為

今回の手口に限らず、ウィルスや不正アクセスというのは最終的にそれによって利益を得る事を目的としています。
ですので、企業はセキュリティを強化しなければ企業秘密が容易く盗まれてしまい、それらを売る事により攻撃者はお金を得ます。

同じく、一時期流行ったランサムウェアという
利用者のファイルを暗号化して、情報を閲覧できなくしてしまい
再び閲覧する為には指定された金額を振り込みなさいと言った通知を出して、実際に振り込みをさせる手法です。

これは情報を人質にとり金銭を要求するという手法になりますので
やはり利益が目的となります。

言い方を変えれば利益にならない情報は狙われにくいですが
個人情報も使い方次第では金銭的な被害になりますから、自分の情報はやはりしっかりと守る必要があります。

被害にあわない為の対処法

URLをチェックする

基本的に今回の手法に限ったものではありませんが、まずメールからURLに飛ぶ際はドメイン(URLの一部でgoogle.comやamazon.co.jpといった部分)を確認する様にいましょう。

やはりこういうサイトはこのドメインの部分が違うので、それが分かったらすぐにそのページを閉じてください。

メールの文面を読む

よくある手口としては、メールの文面からこちらが何かを利用していて
それらの料金が支払われていないといった類のメールが届き
期日までに料金を払わなければ法的手段に訴える。

といったメールが届くのですが、よく見ればおかしい日本語であったり
あるいはその料金をBitcoin(仮想通過)で払ってくださいと言ったような
よく考えれば通常のサービスではまず無いであろう内容が来ることが多いです。

これらは今回の件だけでなく日ごろから気を付けておきましょう。

何も考えずメールのURLはクリックしない

このようにアカウントのパスワード等が流出してしまう時は、やはり安易にURLをクリックした時に起こります。

最近では少し似たような形でemotetと呼ばれるウイルス感染を狙った攻撃メールが相次いでいて、これに関しては文面を見てもわからないレベルになって居るとか


普段から皆様もメールを活用されているとは思いますが、昨今ではそのメールがどんどん巧妙になって居るため、URLや添付ファイルをクリックする時は一度間違いが無いか確認する癖をつけましょう。

そして、添付ファイルを開いてしまった際もいつもと表示が違う、もしくは何か変だなと思った時は同様のケースが無いか確認してから開くほうがいいでしょう。

日頃から情報をチェックする

いつ自分がこの様な悪意に晒されるかはわかりません。
大事なのは日頃から攻撃手法をチェックしておく事です。

もちろんそれでも引っかかってしまう事がゼロになるわけではありませんが、何も知らないよりは間違いなく被害に合う確率を下げます。
情報社会の今では情報こそが自分の身を守る為の武器となります。

それでは、また。


-News, Security

関連記事

IphoneSE2 3月に発売?

iphoneのナンバリング外に在りながら一部に根強い人気があるIphoneSE。これの2が望まれ、噂が出ては消えてを繰り返していましたが、今回は割と確度が高そうです。しかしどうやらSEユーザーが望んで …

中国の現状で5G時代の先が見える

以前ご紹介したSFのような都市に変わりつつある中国。今回の新型コロナの影響で大きく変化を遂げようとしている世界ですが、中国は一歩先に5G時代で予想されていたスマートシティ化しようとしています。 Con …

新宿駅で最新の自動改札機がテスト運用

Contents1 実証実験を 2月から順次行うと発表。2 車椅子の方や子供でも使いやすい形3 実証実験は9月まで4 今後の改札機の進化は?5 要となるのはやはり通信技術6 来る5G 生活はより便利に …

NECの社内サーバーに不正アクセス。防衛省関連ファイル約2万7000件。

NECは1月31日に防衛事業部門で使っている社内サーバが、 2016年から第三者によるサイバー攻撃を受けていたと発表。 情報流出などの被害は確認されなかったとしている。 不正なアクセスはされたとの事で …

BATHが医療分野への取り組みを強化

CNBCによると中国版のGAFAと言われる大手4社。Baidu Alibaba Tencent Huaweiの4社が新型コロナウイルスの影響を受けて、以前記事でご紹介したロボットによる清掃や熱がある人 …

Profile


Yosy

エンジニアとして働き技術を身に着けてから某グローバル企業の営業として活動。
それらの経験を生かしてITコンサルタントとして従事。

その後独立し、培ったノウハウを元に
新技術や企業の取り組み等のデータを収集、分析しクライアントの業態に合わせた提案するサイバーアナリスト
Cynalyst(サイナリスト)として活動中。