二要素認証(2FA)はもはや万能のセキュリティソリューションではない。イラスト写真
新しい攻撃形態
二要素認証(2FA)は、サイバーセキュリティにおける標準的なセキュリティ機能となっています。2FAでは、ユーザーは2つ目の認証ステップ(通常はテキストメッセージ、メール、または認証アプリで送信されるワンタイムパスワード(OTP))で本人確認を行う必要があります。この追加のセキュリティレイヤーは、パスワードが盗まれた場合でもユーザーのアカウントを保護することを目的としています。
2FA は多くの Web サイトで広く採用されており、組織でも必須となっていますが、最近、Kaspersky のサイバーセキュリティ専門家は、サイバー犯罪者が 2FA を回避するために使用するフィッシング攻撃を発見しました。
それに伴い、サイバー攻撃者はより巧妙なサイバー攻撃へと変化し、フィッシングと自動ワンタイムパスワード(OTP)ボットを組み合わせ、ユーザーを騙してアカウントへの不正アクセスを仕掛けるようになりました。具体的には、詐欺師はユーザーを騙してこれらのワンタイムパスワードを開示させ、2FA保護対策を回避しようとします。
サイバー犯罪者は、フィッシングと自動OTPボットを組み合わせてユーザーを騙し、アカウントへの不正アクセスを試みます。イラスト写真
高度なツールであるOTPボットでさえ、ソーシャルエンジニアリング攻撃を通じてOTPコードを傍受するために詐欺師に利用されます。攻撃者は多くの場合、フィッシングやデータの脆弱性を悪用するなどの方法で被害者のログイン認証情報を盗もうとします。そして、被害者のアカウントにログインし、被害者の携帯電話にOTPコードを送信するよう指示します。
次に、OTPボットは信頼できる組織の従業員を装って被害者に自動的に電話をかけ、事前にプログラムされた会話スクリプトを使用して被害者にOTPコードを開示するよう説得します。最終的に、攻撃者はボットを通じてOTPコードを受け取り、それを利用して被害者のアカウントに不正アクセスします。
詐欺師は、被害者がテキストメッセージよりも音声通話を好む傾向があります。これは、音声通話の方が応答が早い傾向があるためです。そのため、OTPボットは人間の通話の口調や緊急性を模倣することで、信頼感と説得力を生み出します。
詐欺師は、専用のオンラインダッシュボードやTelegramなどのメッセージングプラットフォームを通じてOTPボットを操作します。これらのボットには、攻撃者が操作するための様々な機能やサブスクリプションプランが備わっています。攻撃者はボットの機能をカスタマイズし、組織を偽装したり、複数の言語を使用したり、男性または女性の音声トーンを選択したりすることも可能です。高度なオプションには、電話番号のなりすましがあり、発信者の電話番号を正当な組織からのものであるように見せかけて、巧妙な方法で被害者を騙します。
テクノロジーが発展するほど、アカウント保護の必要性は高まります。イラスト写真
OTPボットを使用するには、詐欺師はまず被害者のログイン情報を盗む必要があります。多くの場合、銀行、メールサービス、その他のオンラインアカウントの正規のログインページと全く同じように見えるフィッシングサイトが利用されます。被害者がユーザー名とパスワードを入力すると、詐欺師はこれらの情報を瞬時に(リアルタイムで)自動的に収集します。
2024年3月1日から5月31日までの間に、カスペルスキーのセキュリティソリューションは、銀行を狙ったフィッシングキットによって作成されたウェブサイトへのアクセス試行を653,088件阻止しました。これらのウェブサイトから盗まれたデータは、OTPボット攻撃によく利用されます。同時期に、専門家はリアルタイムの2要素認証を回避することを目的としたキットによって作成されたフィッシングウェブサイトを4,721件検出しました。
一般的なパスワードを作成しない
カスペルスキーのセキュリティ専門家、オルガ・スヴィストゥノヴァ氏は次のように述べています。「ソーシャルエンジニアリング攻撃は、特にサービス担当者からの電話を偽装する機能を備えたワンタイムパスワード(OTP)ボットの出現により、非常に巧妙な詐欺手法とみなされています。警戒を怠らないためには、常に注意を払い、セキュリティ対策を遵守することが重要です。」
ハッカーは、スマートな予測アルゴリズムを使ってパスワードを簡単に解読します。イラスト写真
6月初旬にカスペルスキーの専門家がスマートな推測アルゴリズムを用いて1億9,300万件のパスワードを分析したところ、情報窃盗犯によってダークネットで盗み出され販売されているパスワードも含まれており、そのうち45%(8,700万件に相当)は1分以内に解読可能であることが分かりました。攻撃に耐えられるほど強力だと考えられるパスワードの組み合わせはわずか23%(4,400万件に相当)で、これらのパスワードの解読には1年以上かかるとされています。しかし、残りのパスワードの大部分は、1時間から1か月以内に解読可能です。
さらに、サイバーセキュリティの専門家は、ユーザーがパスワードを設定する際に最もよく使用される文字の組み合わせも明らかにしました。名前:「ahmed」、「nguyen」、「kumar」、「kevin」、「daniel」、人気の単語:「forever」、「love」、「google」、「hacker」、「gamer」、標準的なパスワード:「password」、「qwerty12345」、「admin」、「12345」、「team」などです。
分析の結果、辞書に載っていない単語、大文字と小文字、数字、記号を含む強力なパスワードの組み合わせを含むパスワードはわずか19%でした。同時に、これらの強力なパスワードの39%は、高度なアルゴリズムによって1時間以内に推測可能であることも明らかになりました。
興味深いことに、攻撃者はパスワードを解読するのに専門知識や高度な機器を必要としません。例えば、ノートパソコンの専用プロセッサは、小文字または数字8文字のパスワードの組み合わせをわずか7分で正確に総当たり攻撃できます。統合型グラフィックカードなら、同じことを17秒で実行できます。さらに、高度なパスワード推測アルゴリズムは、文字(「3」を「e」、「!」を「1」、「@」を「a」など)や一般的な文字列(「qwerty」、「12345」、「asdfg」など)を置き換える傾向があります。
ハッカーが推測しにくいように、ランダムな文字列のパスワードを使用する必要があります。イラスト写真
「人は無意識のうちに、名前や数字など母国語の辞書に載っている単語を使って、非常に単純なパスワードを作る傾向があります。たとえ強力なパスワードの組み合わせであっても、この傾向から外れることはほとんどなく、アルゴリズムによって完全に予測可能になります」と、カスペルスキーのデジタルフットプリントインテリジェンス責任者、ユリア・ノビコワ氏は述べています。
したがって、最も信頼できる解決策は、最新の信頼性の高いパスワードマネージャーを使用して完全にランダムなパスワードを生成することです。このようなアプリケーションは大量のデータを安全に保存できるため、ユーザー情報を包括的かつ強力に保護できます。
パスワードを強化するには、以下の簡単なヒントを参考にしてください。パスワード管理ソフトウェアを使用する。サービスごとに異なるパスワードを使用する。こうすることで、たとえアカウントの1つがハッキングされても、他のアカウントは安全です。パスフレーズは、パスワードを忘れた場合にアカウントを回復するのに役立ちます。あまり一般的ではない単語を使用する方が安全です。さらに、オンラインサービスを利用してパスワードの強度を確認することもできます。
誕生日、家族の名前、ペット、ニックネームなどの個人情報をパスワードとして使用しないでください。これらは、攻撃者がパスワードを解読しようとするときに最初に試すことが多いものです。
ソース
![[写真] ザーライ省の指導者らが中央高地の少数民族とともにホーおじさんの記念碑に花を捧げる](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/7/9/196438801da24b3cb6158d0501984818)
コメント (0)