Photo By Shutterstock
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。
Google Authenticatorを標的とするAndroidマルウェア
オランダを拠点とするサイバーセキュリティ企業ThreatFabrickの研究者は2月末、バンキング型トロイの木馬として知られるAndroidマルウェア「Cerberus」の亜種が、「Google Authenticator」で生成された2段階認証(2FA)コードを盗み出す機能を獲得したことを同社ブログで公表した。
Google Authenticatorとは、Googleが開発した2段階認証を行うためのセキュリティトークン(ワンタイムパスワード生成アプリ)だ。Googleの提供する2段階認証システムでは、従来のID、パスワードに加えて同アプリが生成したコードが必要になる。
新たに発見されたCerberusの亜種は、Androidデバイスに感染すると、ネットワークを介してコンピュータを遠隔操作する不正プログラム「RAT(Remote Administration Tool)」の機能を利用して、モバイルバンキングアプリの認証情報を盗み出すという。
具体的には、標的とするモバイルバンキング・アカウントがGoogle Authenticatorで保護されている場合、攻撃者はRAT機能を利用してユーザーのデバイスに接続。Google Authenticatorを遠隔操作してワンタイムパスワードを生成し、画面のスクリーンショットをC&Cサーバ(※)に送信する。
※C&C(Command & Control)サーバとは、攻撃者が乗っ取った(感染させた)コンピュータを制御したり命令を送るために設置したサーバのこと。
こうして取得したワンタイムパスワードを使用すれば、攻撃者はユーザーの契約するオンラインバンキングサービスにアクセスして不正な操作を行うことができるというわけだ。
もはや2段階認証といえども安心はできない状況に
実は、Cerberus亜種の事例は氷山の一角に過ぎない。ここ数年、2段階認証の突破を狙った攻撃が急増している。
多くの金融機関やオンラインショップ、SNSなどが2段階認証の導入を推進していることからも分かるように、高い安全性が求められるサービス、つまり価値ある情報を扱うサービスにとって、いまや2段階認証は必須となっている。そこで、価値ある金品や情報を盗みたい攻撃者たちによる、二段階認証を突破しようとする試みが増加しているのだ。
攻撃者が2段階認証を突破する手口として最も多用されているのが、偽サイトを利用したフィッシング詐欺だ。
その手口としては、例えば金融機関などになりすまして「何者かが不正にログインを試みた可能性がある」「お客様のアカウントにトラブルが発生した」「サイトをセキュリティ強化する必要がある」などと不安をあおるSMSやフィッシングメールを送付し、本物そっくりの偽サイトにユーザーを誘導してIDとパスワードを入力させる。
攻撃者は、正規サイトにそのIDとパスワードを入力。ユーザーにワンタイムパスワードの発行を促して、偽サイトに取得したワンタイムパスワードを入力させる。
こうしてユーザーを騙して獲得したワンタイムパスワードを使うことで、まんまと2段階認証を突破するというわけだ。
サイバーセキュリティ大手のトレンドマイクロによれば、このようなフィッシング詐欺による2段階認証突破に用いられると考えられるフィッシングサイトのドメイン数が2019年9月に急増しているという。
2段階認証突破のために開設されたと考えられるフィッシングサイトのドメイン数の推移(トレンドマイクロ調べ)
このような状況を受け、昨年10月には警視庁や日本サイバー犯罪対策センター、国内大手銀行などからも注意喚起がなされている。
もはや2段階認証を採用しているサイトだからといって、安心して利用できる状況ではないことを知っておくことが大切だ。
攻撃者の手口を知ることで、メールやSNSで送られてきたURLからはオンラインバンクなどへはアクセスしない、セキュリティソフトを導入するなどの防衛策をとろう。そして、各種のオンラインサービスは、より慎重に利用したい。