最近、楽天証券、SBI証券等の各証券会社でフィッシングサイト等を通じたIDやパスワード等の漏洩に対する警告を繰り返しています。そんな中で、日経新聞によると、ダークサイトなどに流出している証券口座のIDが10万件にのぼるという報道がありました。ブルームバーグによれば、想定される流出経路は2つと報道されています。
その2つの手口とは、一つは「アドバーサリー・イン・ザ・ミドル(Adversary in the middle:AiTM)」と、もう一つは「インフォスティーラー」です。
前者のAdversary in the middle(AiTM攻撃)は、多要素認証を通過した状態のデータ(セッションCookie)を盗み出すフィッシング攻撃です。AiTMは正規サイトと偽サイトの両方を活用しながら、利用者がパソコンのブラウザで保存するテキストファイル「cookie」を盗み取ります。
以前から存在するフィッシング攻撃は、偽装サイト(フィッシングサイト)に入力されたID・パスワードなどの認証情報を盗み取る方法です。フィッシング攻撃であれば多くは多要素認証を通過できません。
インフォスティーラー(Infostealer)は、「Information Stealer」の略です。インフォスティーラーは、フィッシングメールや悪意のあるWebサイトを通じて感染することが多く、感染後はバックグラウンドで動作し、ユーザーに気づかれないように情報を収集します。
これらの情報漏洩から身を守る方法として、こちらの対策が紹介されていました。
- 信頼度が低いソフトウェアのインストール
- 危険なマルウェアがインストールされる可能性がある
- パスワードマネージャーの危険な利用
- パスワードマネージャーのデータベースの暗号化のアルゴリズムが弱い場合は破られてしまう。推測しやすいパスフレーズが使われている場合は暗号化されていても推測して開かれる。MFAが設定されていない場合も危険
- ブラウザに自動入力データを保存する
- インフォスティーラーに感染した場合はブラウザの自動入力データは簡単に搾取される
- 「ログイン状態を保持する」での長時間セッション
- cookieを盗まれる確率が高くなる
- 「このデバイスを保存する」によるMFA(多要素認証:Multi-Factor Authentication)非要求機能
ここに紹介されている対策を見ると、違反してしまっている場合が本当に多いです。ブラウザでIDやパスワードを覚えさせることも多いですし、ログイン状態を保持するのチェックボタンにチェックしてしまうことも多いです。現在、やってはいけないことに、パスワードの色々なサイトでの使いまわしがありますサイトごとにユニークなパスワードを付けていくと、とても覚えきることができなくなるので、パスワードマネージャーが必要になります。
そのパスワードマネージャーからも情報が漏洩してしまう可能性があると言われてしまうと、どうすれば良いのか困ってしまします。ブラウザやスマホなど其々にパスワードマネージャーが搭載されていますが、何を信用すれば良いのでしょう。特にパスワードマネージャーのデータベースの暗号化アルゴリズムが弱いかどうかは利用者は判りにくいのが事実です。パスワードマネージャーとしてはどの製品が安全なのか、もう少し勉強しようと思います。
コメント