スマホ 二段階認証の落とし穴

 近ごろ、佐川急便の事案を皮切りに、個人を標的にしたサイバー攻撃が相次いでいます。それはどれも、ちょっとした気の緩みに対するリスクとは思えないほど、被害が大きいのが特徴です。【画像】佐川急便の偽サイト。本家のWebサイトと見た目がほぼ変わらない 宅配大手の佐川急便を装ったショートメール(SMS)が送られてくるという事件では、佐川急便の偽サイトを大量に用意し、Android端末に悪意のあるアプリをインストールさせるという手口が使われました。
 その偽サイトのデザインは、本家のWebサイトと見た目がほぼ変わらず、偽サイトに書かれた指示の通りにアプリをインストールすると、そのアプリが勝手に、偽サイトへ誘導するSMSを不特定多数のスマートフォンへ大量送信するという事象が確認されています。
 本コラムでも何度か伝えている通り、Android端末であれば設定で「提供元不明のアプリのインストールを許可する」という設定をオフにし、怪しいアプリをそもそもインストールさせないということを徹底してください。たとえインストールしようとしているアプリが、有名な企業やブランドの名前を冠していたとしても、です。
 この佐川急便の偽サイトを利用したサイバー攻撃は当初、Android端末への偽アプリインストールを攻撃の手口としていたため、iPhoneやiPadといったiOS端末は攻撃の対象外でした。しかし、上記のように報道で大きく取り上げられ、対策が進んだためか、攻撃手法が変わっています。
 現在では、偽サイトにアクセスした端末がiOSだった場合、攻撃者は偽アプリをインストールさせるのではなく、「Apple社から送られた製品はセキュリティ許可の認証が必要となります」と書かれたサイトで、電話番号を入力させるように促します。その後、認証コードを入力させる画面に遷移するようです。
 これは、端末の二段階認証を横取りし、携帯キャリアのキャリア決済を不正に悪用するものではないかと見られています。
・関連記事→佐川急便かたるSMSに新たな手口 iPhoneユーザー標的か 携帯番号・認証コード詐取(ITmedia NEWS)
 そして、佐川急便とほぼ同時期に、NTTドコモでも事件がありました。ある日気が付くと、14万円を超える負債が発生していたというものです。
(source)

Facebook Comments

comments

Leave a Reply

Your email address will not be published. Required fields are marked *

%d bloggers like this: