ハッカーがパスワードを盗む６つの手法

パスワードの流出は、デジタル時代において最も悩ましい問題の一つです。一見、それほど大した問題には思えないかもしれません。めったに使わず、何の価値もないような古いメールアカウントのパスワードを他人が見つけたとしても、何の問題もないようにみえます。

しかし、もしユーザーが、それと同一のメールアドレスをSNSのアカウント、さらには銀行のアプリやその他のアプリで使っていたとしたら…サイバー犯罪者にあなたの情報が渡ってしまったということになります。結果、お金や個人のデータまで盗まれて自分が苦しい思いをするのに加えて、友人や家族、同僚をも悩ませることになります。というのも、乗っ取られたアカウントは、ユーザーの連絡先に登録されているすべての人に対して、ユーザーの名前を使い、フィッシングメールや詐欺メールを送り付けるために使用されるからです。

今回は、認証情報がどのようにして盗まれるのか、またそれが流出されるリスクを減らすにはどうすればよいのかを解説します。常に注意を払い、警戒することは大切ですが、あなたの情報流出を防ぐことを目的としたハイテクソリューションがあります。それを使えば、より効果的に脅威からデバイスを保護することができます。

トロイの木馬スティーラー

このような人目をはばかるスパイは、通常、一度ユーザーのデバイスに忍び込むと、目に見える活動の痕跡を残しません。このトロイの木馬は、長い間気づかれずにいるため、銀行のアプリ や ゲームプラットフォーム のパスワードなど、複数の重要なデータを盗み、サイバー犯罪者に渡します。

悪意のあるファイルは、ほかのユーザーから送られてきたり、ウェブサイトからダウンロードすることが可能になっています。それを開いた途端、パソコンやスマートフォンがトロイの木馬に感染する仕組みです。インターネット上の実行可能などのファイルにもマルウェアが潜んでいる可能性があることを覚えておいてください。

見かけでは危険かどうか見分けがつかないファイルもあるため、最新の注意を払う必要があります。サイバー犯罪者は、悪意のあるファイルを、通常の画像、ビデオ、アーカイブ、文書などに見せかけて被害者を騙します。例えば、彼らはアイコンを変えたり、安全なフォーマットを真似て非常にずる賢いファイル名を使ったりしています。さらには、通常の文書でさえ、特別な条件のもと悪意のあるものに変えたりします。例えば、文書内の悪意のあるスクリプトが、それを開くためのプログラムの脆弱性を攻撃することがあります。

そういったリーク対策に、スパイウェアであるトロイの木馬を検知、ブロックできるセキュリティソリューションをインストールすることをお勧めします。もしカスペルスキーをすでにお使いであれば、以下の機能が備わっています。

• デバイスや接続したメディアをスキャンし、悪意のあるファイルを検知するアンチウイルス
• メール内の危険なリンクや添付をブロックするメールアンチウイルス

フィッシング

フィッシングメールにはさまざまな種類のものがありますが、目的は一つで、ユーザーを偽のウェブサイトに誘導し、認証情報などを入力させることです。送り付けられたメールには「銀行口座がブロックされました」と書かれていたり、「 動画配信サービスに登録 について、登録者限定サービスを利用できる」などと書かれていることもあります。マッチングアプリTinderで見た魅力的な人や、Amazonで自分が売りに出している品の見込み客、または親しい友達を装った人物などからフィッシングメールが送られてくることもあります。

この場合、まず注意すべき点は、URLが正しいものかどうか調べることです。偽のウェブサイトのなかには、アドレスに余計なアルファベットや2つのドメイン名などが含まれています。しかしサイバー犯罪者の手口も巧妙化し続けているため、アドレスバーを見ただけでは見分けがつかないときもあります。例えば、 Browser-in-the-Browser (BITB) 攻撃の場合、アドレスが本物と同じであるにも関わらず、フィッシングサイトに誘導される場合があります。

当社は、フィッシング攻撃を検知して警告するセキュリティソリューションを提供しています。カスペルスキーアプリケーションには、以下の機能があります。

• 危険なサイトがまとめられたクラウドデータベースを参照し、URLをチェックするURLアドバイザー
• マルウェアが潜んでいるかサイトをチェックするセーフブラウジング

 ブラウザー攻撃

ブラウザーの脆弱性 や ブラウザー拡張機能 を介して、パスワードを盗まれることがしばしばあります。前者の場合、ウェブページ上に作成されたコードが、デバイスにスパイウェアを埋め込みます。後者の場合は、役立つブラウザーのプラグインのふりをした悪意のあるスクリプトを、ユーザー自身が知らぬ前にインストールします。そうした後に、銀行のウェブサイトにアクセスした際、このスプリクトがハッカーのプロキシサーバーを介してすべてのトラフィックをリダイレクトし、ユーザーのクレデンシャル情報が盗まれてしまいます。

• カスペルスキーに搭載されたセーフマネー機能は、ブラウザー攻撃からユーザーを保護します。また、ユーザーがオンラインショップやネット銀行にアクセスしたり、オンライン決済システムを使用したりする際、保護されたブラウザー モードが自動でオンになります。

公共Wi-Fi

通信が暗号化されていない無料Wi-Fiや 古いWEPで保護されたWi-Fi をユーザーが使用した場合、攻撃者はネットワーク上で送信されたデータ（パスワードを含む）を簡単に取得することができます。また、ハッカーがすでにあるネットワーク（通常は近くにあるカフェ、ホテル、ビジネスセンターのもの）に似た名前のWi-Fiホットスポットを利用可能にしている場合もあります。ユーザーのなかには、気づかずにその偽のホットスポットに接続してしまう人もいます。そうすると、すべての通信は、直接サイバー犯罪者の元に届けられてしまいます。

気を付けなければならない点は、ネットワーク名を確認することや、怪しいアクセスポイントを避けること、Wi-Fiの自動接続機能をオフにしたりすることです。そして、すべてのトラフィックを確実に暗号化させることです。そうすれば、万が一疑わしいホットスポットに接続してしまっても、送信内容やユーザーのロケーションを犯罪者に知られることはありません。

• カスペルスキー プラスまたはカスペルスキー プレミアムをご使用の場合、［プライバシー］にある設定でVPNセキュアコネクションをオンにしてください。これらのプランは、無制限でVPNをお使いいただけます。

パスワードを紙に書いて保存

付箋や紙にパスワードを書いて、誰もが目にする場所に置いておく人がいます。これは非常に危険です。パソコンやスマートフォンにパスワードをメモしておいたり、自動入力用にブラウザーでパスワードを保管したりすることもNGです。

では、パスワードが覚えられない人は代わりにどうすればよいのでしょうか？情報セキュリティの専門家は、強力なパスワード を使用するよう繰り返し呼びかけています。さらに、パスワードの使いまわしも大変危険です。そのパスワードが盗まれてしまったら、攻撃者は様々なアカウントに次から次へとアクセスし、より多くの情報を盗み出すからです。では解決策として、長く複雑なパスワードを覚えなければならないのでしょうか。それができる人はほとんどいないでしょう。

シンプルな方法は、強力な暗号で保護されたパスワードマネージャーを使うことです。それに、すべてのユーザー名とパスワードを入力し、マスターパスワードとして設定したものを一つだけ覚えておけばよいのです。

• カスペルスキー プラスまたはカスペルスキー プレミアムをご使用の場合、パスワードマネージャーがあなたのパスワードを保護します。ただし、マスターパスワードを付箋に書いてモニターに貼るようなことは絶対にしないでください。

外部での流出

上記に挙げた点はすべて、ユーザー の行動によって発生しうるパスワード漏えいのケースでした。しかし、オンラインストア、SNS、仮想通貨取引やその他のログインを必要とするサービスなどから、情報が流出してしまうこともしばしあります。そのようなサイトを犯罪者がハッキングすることで、サイバー犯罪者は、膨大なユーザーデータベース、さらにはパスワードやその他の個人情報を入手します。

さらに言うと、そのようなサイトの運営側は、ハッキングの被害にあったという事実報告を積極的には行いません。そのため、流出したユーザーの情報は、知らない間にダークウェブに公開されたり、売られてしまったりします。情報セキュリティの専門家は、そのような情報が公開されていないか監視し、ユーザーに警告しています。

日頃から犯罪者の罠に引っかからないよう注意することが必要です。詐欺師が「専門家」になりすましている場合もあります。例えば、流出があったというメッセージをユーザーが受け取り、リンクをクリックすると、誘導されたウェブサイトで本人確認のためという名目でクレデンシャル情報を入力させられます。そこで詐欺師にパスワードを盗まれてしまうというのもよくあるフィッシングの手口です。

• カスペルスキーの新製品には、個人の情報が流出しているかチェックするデータ流出チェッカーという機能があります。これは、［プライバシー］タブにあり、どこかで盗まれたデータベースの中にユーザーのメールアドレスがあるかどうかチェックします。もし見つかった場合、流出したサイトや公開されたデータの種類（個人情報、銀行の情報、オンラインでのアクティビティの履歴など）のリストおよびその対処法をユーザーに送信します。

常時保護

攻撃者は大切な個人情報を盗んだり、ネット銀行の口座からお金を引き出したり、その他にも、スパイウェア、ランサムウェア、偽のウェブサイト、悪意のあるマイニングなどを使って損害を与えようと、あらゆる手口を使います。

カスペルスキーは、サイバー犯罪者の活動や考え方を監視し、すべてのデジタル脅威に対抗する世界一の保護を提供するために、製品を改善し続けています。カスペルスキー プレミアムは、弊社が提供する個人向け製品の中で最も多くの保護機能を備えた製品です。差し迫った危険に対応し、脅威をブロックし、デバイスを保護します。