確認コードは誰にも教えないで

「このコードを誰にも教えないでください！」。大事なアドバイスですが、ワンタイムコードやワンタイムパスワードの場合、当たり前すぎてわざわざ警告する人もいなくなっているようです。そして悲劇は繰り返される…。

助けを求める丁寧なメッセージ

最近遭遇したフィッシング詐欺の話をしましょう。ある人が、ざっとこのような内容のSMSメッセージを受け取りました。

「こんにちは。突然すみません。あなたの電話番号を以前に使っていた者です。昔使っていたアカウントにログインしようとしたところ、アカウントがこの電話番号に紐づいたままになっていましたので、本人確認用のコードがこの番号にSMSで送られてしまうようです。差し支えなければ、コードの送信をリクエストするので、コードが送られてきたら私に教えていただけませんか？もし難しいようでしたら結構です」。

確かに、そんなに長く使わないうちに使うのをやめてしまった電話番号は、回線停止の上で別の人に再販されている可能性があります。ですから、あなたの電話番号を過去に誰か別の人が使っていた可能性はありますし、入手したばかりの番号であれば特にそうです。それに、そんなことがあり得るのを多くの人が知っています。

先ほどのメッセージは丁寧な言葉遣いで書かれていて、内容にも説得力があります。善良な人は礼儀を重んじますし、この頼み事は筋が通って見えますから、応じてあげる人もいるでしょう。届いたコードを依頼者に転送したところ、相手は心から感謝しているようです。しかし善意から送ったこのコードは、実は自分のアカウントにアクセスするための情報でした。

実際に起こったこと

電話番号の前の所有者が本当に助けを求めている可能性も、ないわけではありませんが、ほぼゼロだと言っていいでしょう。それよりも、フィッシングである可能性の方が高そうです。説明しましょう。

攻撃者はサイバー空間のどこかで、メールアドレス（あなたのアドレスです）と、そのアドレスにひも付いている電話番号（これもあなたのもの）を見つけます。Yahoo!、Twitter、LinkedIn（または最近ユーザーデータを流出させたことのある、あまたのサービスのいずれか）でアカウントを持っている場合、もしくは以前に持っていた場合、あなたのメールアドレスにひも付いた電話番号を見つけ出すのはそれほど難しくはありません。

攻撃者はまず、あなたのメールアカウントにアクセスしようとします。そのためには、パスワードのリセットが必要です。パスワードをリセットしようとすると、メールアカウントにひも付いた電話番号宛てに、SMSメッセージで確認コードが送信されます。パスワードをリセットしようとしているのが、メールアカウントの所有者本人であることを確認するためです。

この手順に進む前に、詐欺師はあなた宛てに心のこもった丁寧なSMSを送ります。コードが有効なのは数分間だけなので、すぐに送ってもらえるように、丁寧に話しかけてあなたの心を動かす必要があるのです。そしてあなたはすぐにコードを送り返します。

確認コードを手に入れ、メールアカウントにアクセスできるようになった攻撃者は、そのメールアドレスにひも付くその他アカウントのパスワードをリセットできるようになります。ソーシャルメディア、別のメールサービス、オンラインウォレット、などなど。パスワードをリセットするためのリンクが送られる先は、このメールアドレスです。こうしてサイバー犯罪者はあなたの持つさまざまなアカウントにアクセスできるようになり、一方のあなたはアクセスできなくなります。

SMSで受け取った確認コードを絶対に誰にも教えてはいけない理由を、お分かりいただけたでしょうか。助けを求めてきたのがどんなに感じのいい人だったとしても、教えてはいけません。コードを1つ教えただけで、自分自身が所有するはずのアカウントからことごとく締め出されることになってしまいます。

少しの注意でアカウントを保護する方法

• SMS経由でも電話口であっても、確認コードを絶対に誰にも教えないでください。確認コードは、Webサービスで本人確認を行うときによく使われるものなのです。
• 2段階認証を設定可能な場合は、必ず有効にしてください。そうすれば、たとえメールアカウントにアクセスできなくなったとしても、少なくとも別のアカウントまで盗まれることはありません。
• モバイルデバイスも含め、すべてのデバイスでセキュリティ製品を使用してください。SMSからコードを盗もうとするトロイの木馬について警告してくれる機能など、さまざまな保護機能がありますが、SMSからコードを盗もうとするトロイの木馬を検知して警告を出す機能もあります。