ネットの活用法や便利なアプリ、お得な買い物テクニックなど知って得する情報を毎日更新しています。

2段階認証ワンタイムパスワードを盗む手口とは

仮想通貨でワンタイムパスワードなどの2段階認証でログインしていたのに、アカウントが乗っ取られて盗難に遭ったという事件が発生しました。Bitcoinなどの仮想通貨は匿名性が高いため、取引所の口座を乗っ取って自分の口座へ通貨を移せば追跡は困難です。2段階認証のワンタイムパスワードを盗む手口を見ていきます。


2段階認証ワンタイムパスワードを盗む手口とは

毎回検索で見つけたサイトでログイン

日本の場合は取引所が金融庁の登録制になったことで、悪意のある口座や犯罪が行われた口座の開示要求が可能になりました。しかし、海外の取引所では法整備が無いところも多く、その口座へ送金されてしまったらお手上げです。

安全性を高める手段として使われる2段階認証には、SMSで端末にコードが送られてくるものや、ワンタイムパスワードで確認するものがあります。「Google Authenticator」といったアプリに代表されるワンタイムパスワードは、現在でもクラックされてないのにどうしてこのような犯罪が起きたのでしょうか。

仮想通貨を始めたばかりの人は取引所へアクセスするときにブックマークからではなく、検索で仮想通貨の取引所名を毎回入力。検索で見つけたリンクからログインするケースが多いというのが実状。ここに危険が潜んでいるのです。

偽サイト(フィッシングサイト)の多くは初心者向けの解説ページに偽装し、リンク先を偽ログイン画面にしていたりします。そして、こうした偽サイトは自動化されていることがポイントです。


ワンタイムパスワードを自動的に入力

ワンタイムパスワードは30秒ごとにパスワード(6ケタのコード)が自動変更される仕組み。偽サイトで入手したIDやパスワードを、サイトにアクセスして手入力していてはワンタイムパスワードの有効期限に間に合いません。

そこで、偽サイトに埋め込んだスクリプトにより自動的に「情報入手→ログイン→登録情報変更」を行っているというわけ。これでアカウントの乗っ取り完了です。

こういった偽サイトはIDとパスワードの組み合わせが何であっても、次の画面に遷移します。アカウントの持ち主には全く気づかれないまま、悪意のある偽サイトの管理者へ情報送信してしまうのですから厄介です。

ワンタイムパスワードのハッキングを防止するには、ブックマークやショートカットで正しいURLを登録し、必ずそこからログインすること。また、外出先の野良Wi-Fiやネットカフェではローカル側のDNSを書き換えて、正しいURLであるにもかかわらず偽サイトへ誘導するという手口もあります。

外出先の場合は、LTEで接続するなどして対策を怠らないようにすることが肝心です。自分の財産を守るために「多少の手間でも安全性を最優先して下さい」と言うのは簡単。しかし、こうした手口の恐ろしさを知れば、自ずと手間を惜しまなくなるでしょう。(文/石川英治)

■「パスワード」おすすめ記事
忘れてしまったPDFのパスワードを解除する方法
WEP方式のWi-Fiパスワードは解析できてしまう
思い出せないZIPファイルパスワードを高速解析
キーロガーはUSB型を設置されたら発見は困難

■「セキュリティ」おすすめ記事
LINEのセキュリティを上げるための6つの設定
LINEは設定を間違えると情報が垂れ流しになる
Amazon偽サイトでありがちなURLの違いとは?

The following two tabs change content below.
Twitter のプロフィールFacebook のプロフィール

ラジオライフ編集部

ラジオライフ編集部三才ブックス
モノ・コトのカラクリを解明する月刊誌『ラジオライフ』は、ディープな情報を追求するアキバ系電脳マガジンです。 ■編集部ブログはこちら→https://www.sansaibooks.co.jp/category/rl

この記事にコメントする

あわせて読みたい記事

  • 接続中のWi-Fiパスワードを簡単に表示する方法
    接続中のWi-Fiパスワードを簡単に表示する方法
  • スマホのパスワード管理はクラウドで簡単に共有
    スマホのパスワード管理はクラウドで簡単に共有
  • iPhone端末でWi-Fiのパスワードを確認する方法
    iPhone端末でWi-Fiのパスワードを確認する方法
  • ブラウザに保存したパスワードの見方とその対策
    ブラウザに保存したパスワードの見方とその対策

    • オススメ記事

    逮捕者も出た「モザイク破壊」とはどんな技術?
    モザイク破壊動画の仕組みとは?無料で安全なAVサイトは?

    2021年10月、ついに「モザイク破壊」に関する事件で逮捕者が出ました。京都府警サイバー犯罪対策課と右京署は、人工知能(AI)技術を悪用してアダルト動画(AV)のモザイクを除去したように改変し[…続きを読む]

    最新AI技術を駆使した「モザイク除去」の到達点
    JavPlayerの使い方でモザイク破壊はTecoGANで除…

    モザイク処理は、特定部分の色の平均情報を元に解像度を下げるという非可逆変換なので「モザイク除去」は理論上は不可能です。しかし、これまで数々の「モザイク除去機」が登場してきました。モザイク除去は[…続きを読む]

    LINEのトーク内容を盗み見する方法とその防衛策
    LINE会話の盗み見方法とそのLINE盗聴&盗撮を防ぐ方法

    圧倒的ユーザー数を誇るLINEは当然、秘密の連絡にも使われます。LINEの会話は探偵が重点調査対象とするものの1つです。そこで、探偵がLINEの会話を盗み見する盗聴&盗撮テクニックを見ていくと[…続きを読む]

    盗聴はアプリを入れればできる
    盗聴器をスマホで聞く方法でiPhoneアプリは何を使う?

    盗聴器といえば、自宅や会社など目的の場所に直接仕掛ける電波式盗聴器が主流でした。しかし、スマホ、タブレットPCなどのモバイル機器が普及した現在、それらの端末を利用した「盗聴器アプリ」が急増して[…続きを読む]

    チョコボールのエンゼルを見分ける方法
    チョコボール当たり「銀/金のエンゼル」確率と見分け方

    おもちゃの缶詰は、森永製菓「チョコボール」の当たりである“銀のエンゼル”を5枚集めるともらえる景品。このおもちゃの缶詰をもらうために、チョコボール銀のエンゼルの当たり確率と見分け方を紹介しまし[…続きを読む]