二段階認証突破を狙う詐欺の手口とは?被害にあわないための対策について解説

2step_authentication

近頃さまざまなサイバー攻撃からセキュリティを強化するために「二段階認証」が採用されています。
しかし巧妙な偽のサイトに誘導して、二段階認証を突破しようとする詐欺が急増していることはご存知でしょうか。
個人情報や重要なデータを抜き取られないためには、手口を知って対策することが大切です。

今回は二段階認証詐欺の手口と見分け方、対策方法について詳しく解説していきます。
被害に遭ってしまった場合の対応方法についても紹介しますので、落ち着いて対処しましょう。

不正アクセスから守る二段階認証

二段階認証とは、そもそもどのようなものかご存知でしょうか。

まずは二段階認証について確認しておきましょう。

 

二段階認証とは?

二段階認証とはIDとパスワードで一段階目の認証が行われた後に、秘密の質問など別の方法で二段階目の認証を行う確認方法です。

従来のIDとパスワードだけの認証方法よりも高いセキュリティレベルが得られるため、多くのWEBサービスで採用され始めました。
近頃はパスワード入力と指紋認証など、二つの要素を組み合わせた二段階認証が増えていてより安全な運用がされています。

 

二段階認証が必要な理由

「なりすまし行為」の被害による情報漏洩が急増し、二段階という複数の認証方法を組み合わせることで、強固なセキュリティ環境を構築する必要性が出てきました。

特にネットショッピングなど決済を行うサービスのログイン情報が流出してしまえば、大きな被害に遭ってしまいます。

二段階認証であれば、より複雑で強固なセキュリティを期待できるので安心してサービスを利用することができます。

 

二段階認証に用いられる種類

二段階認証には秘密の質問や乱数表などさまざまな種類の認証方法があります。
ここで二段階認証に用いられていることが多い認証方法について3つ紹介しておきましょう。

・ワンタイムパスワード
ワンタイムパスワードは、メールアドレスやアプリなどに数十秒~数分間表示される1度だけ使えるパスワードのことです。

一度使用する、または数十秒から数分で使用できなくなるので情報が盗まれても不正アクセスを防ぐことができます。

・パスコード
パスコードは、スマホなどに送られてきたランダムな認証コードを入力する方法です。

ログイン情報が漏れてしまっても認証コードがなければアクセスできないので、現在最も採用されている二段階認証でしょう。

・生体認証
生体認証は指紋や瞳の虹彩を利用して本人確認をする方法です。

スマホの普及によって採用され始めた方法で、盗難や紛失の心配がない安全性の高い認証方法でしょう。

 

急増する二段階認証を突破する詐欺の手口とは?

高いセキュリティを誇る二段階認証ですが、近年二段階認証を突破する詐欺が急増しています。

ここから詐欺の手口について詳しく見ていきます。

認証コードを盗む巧妙な手口

現在確認されている二段階認証を突破してくる詐欺の手口に、偽サイトへ誘導しログイン情報を盗み取る方法があります。

利用者に偽サイトでIDとパスワードを入力させ、詐欺グループが正規のサイトにその情報を使ってログイン。

さらに届いた二段階認証の認証コードを偽サイトに入力させ、アカウントを乗っ取る手法です。

偽サイトは正規のサイトのように作り込まれているため、詐欺に遭っていると気づくのが難しくなっています。

 

偽のSMSに注意

偽サイトへ誘導する方法はいくつかありますが、急増している手口がSMSを使ったなりすましメールです。

例を挙げると運送会社を装って不在通知SMSを送信し、偽サイトへ誘導されてしまうとログイン情報を要求されます。

ログイン情報が奪われてしまうと個人情報の悪用や、悪質なアプリをインストールさせられるなどの攻撃に遭ってしまいます。

運送会社から見覚えのない不在通知や、突然銀行からパスワード変更依頼などさまざまな内容で誘導してくるので注意が必要です。

次の記事でさらに詳しく手口と対策方法について解説しているので、確認しておきましょう。

佐川急便を装った偽不在通知SMSに注意!クリックや開いてしまった時の対処方法

 

SNSの乗っ取りも急増中

近頃TwitterなどのSNSの乗っ取りも急増していて、著名人のアカウントが悪用されているケースがあります。

一般利用者のアカウントも乗っ取り、スパム行為を行う悪質な詐欺もあるので、油断はできません。

SNSが乗っ取られてしまう手口や、乗っ取られてしまったときの対策については次の記事にまとめているので、参考にしてください。

TwitterなどSNSの乗っ取り手口と対策【二段階認証で情報流出を防ぐ】

詐欺被害を最小限にする対策をしよう!

二段階認証を突破してくる詐欺の被害に遭わないために、より強固なセキュリティ対策が必要です。

詐欺の被害に遭ってしまった場合も、落ち着いて対処すれば被害を最小限にできます。

ここからは詐欺被害に遭わないための対策と、詐欺に遭ってしまったときの対応方法について解説していきます。

 

詐欺被害に遭わないための対策

まずは詐欺に遭わないための対策について4つご紹介します。

簡単にできる対策ばかりなので、すぐに対策してみてください。

1、二段階認証が利用できる場合は必ず使用
2、強固なパスワード設定をする
3、暗号化されていないホームページではIDなど重要な情報を入力しない
4、セキュリティサービスを利用する

 

・二段階認証が利用できる場合は必ず使用
年々詐欺の手口は巧妙になっているため、二段階認証が利用できるサイトは必ず使用しましょう。

面倒だと思っても二段階認証を設定していれば、詐欺に遭っても被害を最小限に食い止められる可能性が上がります。

 

・強固なパスワード設定をする
二段階認証が設定していたとしても、IDやパスワードが漏れてしまえばセキュリティレベルは下がってしまいます。

安全性が高いパスワードの設定方法の解説を次の記事にまとめているので、参考にしてみてください。

覚えられないから…とパスワードの使い回しは危険! 想定されるリスクと対策方法

・暗号化されていないホームページではIDなど重要な情報を入力しない
「https」から始まるURLバーに鍵のマークがあるWEBサイトは、通信が暗号化されている安全なサイトを指します。

IDなどを入力してもサイト上の情報をすべて暗号化して通信しているため、情報が盗まれる心配がありません。

しかし最近ではhttpsから始まる偽サイトも確認されているようなので、自衛は大切です。

普段から偽サイトにアクセスしないよう、メールに記載されているURLをクリックしないなどの癖をつけておきましょう。

 

・セキュリティサービスを利用する
セキュリティサービスは危険なサイトに接続した際、警告画面を表示してくれる便利なサービスです。

サービスの中には、正しいバンキングサイトに接続できているか確認してくれる「バンキング保護機能」があるものも。

また検索結果のリンクが安全なサイトか危険なサイトか表示してくれるものもあります。

【Windows10】セキュリティソフトは別途必要? 専門セキュリティソフトと機能の違いとは?

 

被害に遭ってしまった時の対応

二段階認証などのセキュリティ対策をしていても、詐欺の被害にあってしまった場合はどのように対応すればいいのでしょうか。

ここではすぐ対応するべき2つの方法についてご紹介します。

1、利用している他のサービスもIDとパスワードを変更する
2、クレジットカードなど不正利用されていないか確認

 

・利用している他のサービスもIDとパスワードを変更する
不正アクセスされてしまったと気づいたら、すぐに自分が利用しているすべてのサービスのIDとパスワードを変更してください。

盗まれてしまった情報をさらに悪用される危険性があるので、気づいた時点ですぐに行うことが必要です。

似たようなIDやパスワードに変更してしまうとまた被害に遭いかねないので、複雑なものに変更するようにしましょう。

・クレジットカードなど不正利用されていないか確認
盗まれてしまった情報の中にクレジットカードや銀行口座が含まれている可能性があるため、速やかに利用履歴を確認してください。

特にECサイトやネット銀行に不正アクセスされてしまうと、金銭的な被害に遭う可能性が高いためすぐに対応しなければなりません。

被害に遭ったことにすぐ気付けるよう、日頃から利用履歴を確認する癖を身につけておいてもいいでしょう。

 

まとめ

便利なインターネットを楽しむために、二段階認証は非常に有効なセキュリティ対策です。

しかし巧妙な偽サイトやなりすましメールなどから個人情報を守るためには、さらにセキュリティレベルを上げる必要があります。

今回ご紹介した対策の中で一番のおすすめの対策は、セキュリティサービスの利用です。

知らない内に危険なサイトにアクセスすることを防止し、危険な挙動やウイルスが含まれているデータのダウンロードも防げます。

中でもフィッシングサイトやウイルスをばらまくサイトなど、危険なサイトへの接続が行われようとした際に、警告画面を表示してくれたり、Webからのファイルダウンロード時に、ウイルスが含まれていないか検査をしてくれる「常時安全セキュリティ24」がおすすめです。

常時安全セキュリティ24はパソコンでもスマホでも利用ができ、ひとつのライセンスで最大7端末まで利用ができます。

利用料金など詳細は常時安全セキュリティ24ページをご参照ください。

ぜひこの機会に導入を検討してみてはいかがでしょうか。

※2020年11月時点の情報です。

スマホやパソコンを守れ!「常時安全セキュリティ24」は何がどういい? おすすめの理由を解説

 

@niftyのおすすめインターネット接続サービス

  • @nifty光
  • ドコモ光
  • auひかり