はじめに
少し前のニュースだが、Amazonで大規模な不正使用が発生したとX(旧ツイッター)で騒ぎになっていたことがあるらしい。
本件について主要メディアの報道記事はなかなか見つからなかったのだが、ITmediaNEWSが概要を紹介している記事が残っていた。
「Amazonを不正利用された」──SNS上で報告相次ぐ 「二段階認証を突破された」などの声も
タイトルを読んだ時点である疑問がわいた。
そこには「二段階認証を突破された」と書かれていたからだ。
Amazonのような巨大ITサービスのセキュリティが二段階認証まで突破され不正使用されたとあっては、世界的な大ニュースになるはずだ。
ところが、当時そのような報道がされていた記憶はない。
すると、このニュースは誤報だった可能性が高いが、なぜSNSで大騒ぎになるような事態を引き起こしたのだろう。
当時のことをいろいろと調べていくうちに、フィッシング詐欺の手法を少し工夫するだけで、被害者自身に二段階認証コードを入力させ、それを利用して二段階認証を突破する方法があることに気づいた。
恐らくこの不正使用の被害者たちは、このやや高度なフィッシング詐欺の手法に引っ掛かってしまい、意図せず攻撃者に協力してしまったのではないかと推察する。
本記事では、自衛の観点からその手口を明らかにしていきたい。
当然ながら悪用は厳禁とさせていただく。
なお、これらは全て当方の憶測に過ぎず、確定的な証拠があるわけではないことをあらかじめお断りしておく。
フィッシング詐欺の手口
フィッシング詐欺とは、簡単に言えば被害者を偽のサイトに誘導し、被害者が入力した内容を盗み取って利用する手口のことだ。
攻撃者はまず被害者を偽のサイトに誘導しなければならない。
恐らくこの点がこの詐欺で一番難しいところだ。
すると我々が気を付けるべきことはただ一つだ。
要は偽のサイトにアクセスしなければよいのだ。
偽のサイトへの誘導に一番使われると思われるのはメールなどによる通知だ。
恐らく被害者は、Amazonから来たメールとそっくりな偽のメールに騙されて、メールに記載された偽Amazonへのリンクを選択してしまったのではないだろうか。
旧ツイッターを検索すると、その当時のものと思われる被害報告をいくつか見つけることができる。
その中に、「Amazonから、アカウントの不正使用を検知したため、アカウントを使用停止にした旨のメールが届いた」と報告している被害者がいた。
このような緊急性の高そうなメッセージを受け取ると、普段よりも警戒が緩くなって偽のリンクに気づきにくくなりがちだ。
攻撃者は事例を研究するなどして、このようなケースで利用者の警戒心が緩くなることをよく知っていたのだろう。
Amazonからは、使用停止の解除のため、アカウントやパスワードなどの再入力を求められたという。
もしこれが偽サイトだとすると、アカウントもパスワードも被害者自身がわざわざ詐欺サイトへ入力してしまったことになる。
攻撃者はその入力されたアカウントとパスワードを使って本物のAmazonへログインを試みたのだろう。
そうすると、そのタイミングで被害者のスマホに二段階認証の認証コードが送られる。
被害者はちょうど偽サイト上でログイン手続きを行っている最中なので、何も疑わずに認証コードを偽サイトに入力してしまったのだろう。
認証コードを受け取った悪意ある攻撃者は、本物のAmazonのサイトにその認証コードを入力すればよいのだ。
アカウントもパスワードも認証コードも全部本物なので、当然ながらログインにも成功するだろう。
このような手順で二段階認証は突破されてしまったのだろう。
これらを簡単な図にまとめると以下のようになる。
上記の手順により、もしサイトが偽物だと気づかないと、たとえ二段階認証を設定していても、簡単にセキュリティを突破されてしまう可能性があることが分かるだろう。
今回はAmazonのケースについて考察してみたが、他のサイトでも基本は同じだろう。
十分に注意をすることが必要だ。
まとめ
昨年ごろ、Amazonのセキュリティが二段階認証まで突破されたという衝撃の噂が流れていた。
だが、実際にはフィッシング詐欺に多くの人が引っかかっただけなのではないかと想像し、その手口を考察してみた。
その結果、今回考案したような比較的単純な方法でも、二段階認証は簡単に突破されてしまうことが分かった。
十分に注意することが大切だ。
なお、本記事の悪用は厳禁とさせていただく。