ワンタイムパスワードのハッキング手口と対処法
セキュリティを高める手段として、ワンタイムパスワードによる2段階認証が使われるようになっています。しかし、仮想通貨の取引所に2段階認証でログインしていたのに、アカウントが乗っ取られて盗難に遭ったという事件が発生しました。ワンタイムパスワードのハッキングを防ぐ方法を見ていきます。
ワンタイムパスワード自体は安全
セキュリティを高めるための2段階認証には、SMSで端末にコードが送られてくるものやワンタイムパスワードで確認するものがあります。「Google Authenticator」などのワンタイムパスワード自体は、現在でも安全性は守られたままです。
はたして、ワンタイムパスワードはどのようにハッキングされたのでしょう? 実は、仮想通貨を始めたばかりの人は取引所へのログインに、検索ページで取引所名を毎回入力。検索結果で見つけたサイトでログインするケースが多いのです。
この検索結果に、偽サイト(フィッシングサイト)が混じっています。多くは初心者向けの解説ページに偽装して、リンク先を偽ログイン画面として設置。ここからIDとパスワードを盗み出しているのです。
ワンタイムパスワードのハッキング
とはいえ、ワンタイムパスワードは30秒ごとにパスワード(6ケタのコード)が自動変更されます。偽サイトで入手したIDやパスワードを、サイトにアクセスして手入力していては間に合いません。
ここで偽サイトは自動化されていることがミソ。偽サイトに埋め込んだスクリプトにより自動的に「情報入手→ログイン→登録情報変更」を行います。アカウントの持ち主が全く気づかいまま、偽サイトの管理者へ情報送信してしまうのです。
ワンタイムパスワードのハッキングを防ぐには、正しいサイトURLをブックマークに登録。必ずそこからログインすることです。
このほか、外出先の野良Wi-Fiやネットカフェではローカル側のDNSを書き換えて、正しいURLであるにもかかわらず偽サイトへ誘導するという手口もあります。外出先では、LTEで接続するなどしてハッキング対策を怠らないようにしましょう。
