ビジネスコンサルティングの現場から

各種ビジネス・コンサルティングに携わる担当者が、日頃、「考えている事」や「気が付いた事」を不定期に発信します。

トップ > 経営コラム > ワンタイムパスワードが奪われる被害が発生!その意外な手法とは?

ワンタイムパスワードが奪われる被害が発生!その意外な手法とは?

経営コラム

ワンタイムパスワードの入力

不正ログインに関する新しい攻撃手法の情報が入ってきました。

今度は、「ワンタイムパスワードが盗まれる」というものです。

ご存じの通り、ワンタイムパスワードとは、利用者が持つ専用の機器やスマホなどに送られてくる「一度しか使わないパスワード」の事です。

インターネット上で提供されているサービスにログインする時などに、本人である事を確認する為に使われます。

通常のパスワードはIDとセットで盗まれてしまった場合、本人のフリをされてしまいます。

これを防ぐ為、本人しか確認出来ないはずの機械(スマホなど)に情報(通常は数桁の数字)を送り、それを入力して貰う事で、「不正な利用ではない(本人の利用である)」と確認するのが、ワンタイムパスワードの仕組みです。

2要素認証や多要素認証(MFA)と呼ばれる認証方式を成立させる為の手法の一つです。

銀行のオンラインバンキングサービスなどでも多く使われており、不正ログインを防ぐ為の「切り札」として考えられている面もあります。

そのワンタイムパスワードが盗まれるような事があれば、困ってしまいますよね。


では、今回、明らかになった「ワンタイムパスワードを盗む方法」とは、どのようなものでしょうか。

実は、仕組みは、かなり原始的なものです。

攻撃者は、事前に、ワンタイムパスワードを盗む対象者のIDと電話番号を入手しておきます(場合によっては、通常のパスワードも)。

そして、あるタイミングで、対象者に「ワンタイムパスワードを入力するように要請する電話」をかけるのです。

そして、「電話の相手に教える必要がある」と思い込んだユーザーが、ワンタイムパスワードを入力してしまう、という仕組みなのです(通話中に、電話機から入力する、という意味です)。

もちろん、そうやって入手したワンタイムパスワードを使い、攻撃者は、対象者のフリをしてサービスを利用してしまいます(結果、例えば、銀行の預金を奪われてしまったりもします)。


手法としては、かなりシンプルであり、ここまで読まれた方の中には、「そんな方法で、なぜ、ワンタイムパスワードが盗めるのか?」と思われた方もいらっしゃるかもしれません。

しかし、以下のようなシチュエーションを想像してみて下さい。

ある時、貴方の所に電話がかかってきます。

かかってきた貴方の電話番号は、一般には公開していない電話番号であり、特定の銀行などにだけ教えている番号だったとしましょう。

そして、電話に出ると、次のような音声が自動音声で流れてきたとします。

「○○銀行です。この電話番号は、ID△△を利用されている□□様のもので間違いないでしょうか。この電話番号がご本人が使われているものである事を確認する為、お手持ちの機器に表示されたワンタイムパスワードを入力して下さい。もし、入力が行われなかった場合には、不正利用防止の為、オンラインバンキングの利用を中止させて頂きます。」

もちろん、○○・△△・□□の所には、実際に貴方が使っている銀行名、ID、名前が入ります。

この電話を、「攻撃者によるものである」と瞬時に判断し、電話を切れる人は、どのくらいいるでしょうか。

自分と自分が利用しているサービス提供会社しか知らない情報が多く含まれていた場合、「本当かもしれない」と思ってしまう人は多いのではないでしょうか。

※この例は、仕組みを理解して頂く為に創作したものです。実際にかかってくる電話の内容とは異なります。

ちなみに、海外には、こういった攻撃に使う為の電話を自動でかけるサービスまで用意されているのだそうです。


ワンタイムパスワードは、ユーザーがインターネット上のサービスを利用しようとした際に入力するものです。

通常、電話で質問される事はありません。

しかし、そのような仕組みを十分に理解していない人は多いでしょうし、電話でワンタイムパスワードを入力させるようなサービスが絶対に存在しないとも言い切れません。

ですから、このような攻撃の標的にされてしまった場合、ひっかかってしまうのも仕方が無い面があるように思います。


では、どのように、今回の攻撃から身を守れば良いのでしょうか。

この攻撃は、攻撃者が対象者の様々な情報を持っていなければ成立しません。

「ワンタイムパスワードさえ手に入れれば、不正ログインが出来る」という状況になっていないと、ワンタイムパスワードを聞き出しても意味がないのです。

ですから、「IDや電話番号などの情報を攻撃者に知られないようにすれば良い」というのが、一つの防御策とはなります。

しかし、この防御法は完全ではありません。

なぜならば、どれだけユーザーが気をつけても、貴方が使っているサービスの側から、情報が漏れてしまう可能性があるからです。


結局、ユーザー側で出来る対策としては、

「サービス毎にワンタイムパスワードを使う箇所(聞かれるタイミングや、入力する画面など)を覚えておき、それ以外でワンタイムパスワードを求められた場合には、『騙されそうになっているのかもしれない』と思って入力しないようにする」

という事しかないように思います。

真っ当なサービスであれば、一度や二度、ワンタイムパスワードを入力しなかったからといって、それで利用者が不利益を被るような対応はしないはずです。

ですから、「何か変だな?」と思ったら、求められても、ワンタイムパスワードを入力せず、サービスを提供している会社に問い合わせるようにして下さい。

今後、もっと良い対応方法が公開されるかもしれませんが、それまでは、そのように対応する事をお勧めします。


なお、このような事をインターネット上のサービスを使っている全ユーザーに啓蒙するのは大変です。

騙されてしまう人を少しでも減らす為に、今後は、「このパスワードは○○と表示されている画面に入力する為のものです。それ以外の画面に入力したり、電話などで聞かれても絶対に教えないで下さい。」といった内容も、ワンタイムパスワードが通知される際に、同時に通知されるようになるべきではないでしょうか。

業界関係者の方には、ぜひ、ご検討を頂きたいと思います。