ワンタイムパスワード(OTP)を使用する二要素認証(2FA)は現在、フィッシング、ソーシャルエンジニアリング、アカウント窃取、その他のサイバー攻撃に対する「万能薬」としてよく使用されています。ログイン時にOTPを要求することで、使用しているサービスにおけるユーザー認証の保護が強化されます。認証用のコードは、ユーザーのデバイス上の専用アプリで直接生成することができますが、悲しいことに、わざわざ認証アプリをインストールして設定する人はほとんどいません。そのため、サイトは通常、テキスト、メール、プッシュ通知、IMメッセージ、さらには音声通話の形式で認証コードを送信します。またこのコードには有効期限があるため、セキュリティを大幅に強化します。
しかしながら、OTPは魔法のように万能というわけではありません。2FAを使用しても、個人アカウントはOTPボットに対しては脆弱なままです。このボットは、ソーシャルエンジニアリング手法によってユーザーを騙し、OTPを開示させようとする自動化ソフトウェアです。
今回のブログは、これらのボットがフィッシングにおいてどのような役割を果たしているのか、またどのように動作するのかについてお話しします。
OTPボットの仕組み
これらのボットは、WebブラウザーまたはTelegramのコントロールパネルを通じて制御され、金融機関などの正当な組織になりすまして被害者を騙し、送信されたOTPを開示させます。その手口は次の通りです。
- 詐欺師は、被害者のログイン認証情報(パスワードを含む)を入手します(その手口については後述します)。その後詐欺師は、被害者のアカウントにログインし、OTPの入力画面にたどり着きます。
- 被害者がスマホでOTPを受信します。
- OTPボットが被害者に電話をかけ、事前に録音したソーシャルエンジニアリングのスクリプトを使用し、受信したコードを入力するよう要求します。
- 何も知らない被害者は、通話中にその場でスマホにコードを入力します。
- コードが攻撃者のTelegramボットに転送されます。
- 詐欺師がそのコードを入力し、被害者のアカウントにアクセスします。
OTPボットの主な機能は、被害者に電話をかけることであり、詐欺が成功するかどうかはボットの説得力にかかっています。OTPの有効期間は短いため、電話を使用すれば、有効なコードを取得できる可能性が他の方法と比較してはるかに高くなります。そのため、OTPボットには、通話に関する条件を少しでも調整するための多数のオプションが用意されています。
OTPボットは、どんな詐欺師でも購入することが可能です。まず、1週あたり420ドル相当のサブスクリプションを仮想通貨で購入します。次に、ボットに被害者の名前、電話番号、銀行口座の詳細を入力し、なりすましたい組織を選択します。
被害者がより騙されやすいように、被害者の電話に表示される発信元の電話番号も指定することができ、さらにボットの言語や音声のカスタマイズも可能です。音声はすべてAIによって生成されるため、たとえばOTPボットは、インド訛りの英語やカスティーリャ地方のスペイン語まで「話す」ことができます。電話が留守番電話に転送された場合は電話を切ればよいということも、ボットは認識しています。また、すべてが正しく設定されていることを確認する目的で、詐欺師は攻撃を開始する前に自分のテスト番号に電話をかけて、OTPボットの設定を確認することができます。
詐欺師は、かかってくる電話が正当なものであると、被害者に信じさせる必要があります。そのためOTPボットの中には、その番号にダイヤルする前に、これからかかってくる電話について注意喚起するテキストメッセージを送信するものもあります。一見すると不審な点は何もないため、標的は警戒心を緩めます。「銀行」から近日中に電話がかかってくるというテキスト通知が届き、その数分後に電話がかかってくるのですから、まさか詐欺であるはずはないと思い込むのです。しかし、それが詐欺なのです。
通話中に、一部のボットはOTPだけでなく、クレジットカード番号と有効期限、セキュリティコードまたはPIN、生年月日、書類の詳細などの他のデータも要求する場合があります。
OTPボットの内部の仕組みについてさらに詳しく知りたい場合は、Securelistのレポート(英語)をご覧ください。
ボットだけではない脅威
OTPボットは2FAを回避するための効果的なツールですが、被害者の個人データがなければまったく役に立ちません。アカウントへのアクセスには、少なくとも被害者のログイン名、電話番号、パスワードが必要となります。もちろん、標的の情報(フルネーム、生年月日、住所、メール、クレジットカード情報)が多ければ多いほど、攻撃者にとっては好都合です。こうしたデータの入手方法がいくつかあります:
- ダークウェブで入手:ハッカーは定期的にダークウェブでデータベースを販売しており、詐欺師はパスワード、クレジットカード番号、その他のデータなどのログイン情報を購入することができます。購入した情報は最新のものではないかもしれません。しかし残念なことに、大半のユーザーはパスワードを何年も変更せずに使い続けることが多く、その他の詳細データがログイン資格情報に関連付けられている期間は、もっと長いのです。ちなみに、カスペルスキー プレミアムを使用すれば、電話番号やメールアドレスなどのデータが侵害された際にはすぐに通知されます。またパスワードマネージャーを使用すると、パスワード侵害のインシデントの発生時にレポートが作成されます。
- オープンソースインテリジェンスから入手:データベースが「普通の」Web上で公開、流出してしまう場合もありますが、メディアが報道で取り上げなくなるにつれて、こうしたインシデントやその危険性はすぐに忘れられてしまいます。たとえば顧客データ流出が発覚した場合、流出したすべてのアカウントのパスワードをリセットし、次回ログイン時に新しいパスワードを作成するようユーザーに呼びかけることが、企業としての標準的な対処方法と言えるでしょう。
- フィッシング攻撃を通じて入手:この方法には他の方法にはない利点があることは、否定できない事実です。フィッシング攻撃は、リアルタイムで実行されるため、被害者のデータが最新のものであることが保証されているからです。
フィッシングキット(phishkits)とは、認知度の高い有名ブランドの偽ページを作成し、ユーザーに個人データの入力を促すテンプレートです。これらのツールは時間を節約し、サイバー犯罪者が1回の攻撃ですべての必要なユーザー情報を収集することを可能にします(この場合、OTPボットはフィッシング攻撃の一部に過ぎません)。
たとえば、多段階のフィッシング攻撃の流れは次の通りです。被害者は銀行、店舗、またはその他のビジネスや団体からと見せかけたメッセージを受け取り、個人口座の情報を更新するよう要求されます。このメッセージには、フィッシングリンクが添付されています。想定されるのは、被害者が元のサイトとほぼ同じサイトにアクセスして入力したログイン認証情報を、詐欺師が盗むというパターンです。盗んだ認証情報をすぐに使用して、詐欺師は被害者の実際のアカウントにログインします。
アカウントが2FAで保護されている場合、詐欺師はフィッシングキットのコントロールパネルへコマンドを発行し、OTPの入力ページをフィッシングサイトに表示させます。被害者がコードを入力すると、フィッシング詐欺師は本物のアカウントへの完全なアクセスが可能になります。たとえば銀行口座からお金を引き出すこともできるようになります。
しかし、攻撃はそれで終わりではありません。詐欺師はユーザーに「認証情報の確認」を必須条件としてプレッシャーをかけ、この機に乗じて可能な限りの個人情報を引き出します。コントロールパネルを通じてリアルタイムで要求可能なデータには、メールアドレス、クレジットカード番号やその他の個人情報などです。こういった情報は、被害者の他のアカウントの攻撃に使用される場合があります。たとえば、フィッシングされたパスワードを使用して被害者のメールボックスへのアクセスを試行することができます。すべてのアカウントと言わないまでも、複数のアカウントでの同じパスワードを使い回す人は多くいます。そのため詐欺師にとって試す価値があります。一旦メールにアクセスできたら、詐欺師は本領を発揮します。たとえば、メールボックスのパスワードを変更し、メールボックスの内容を簡単に分析した後、このアドレスにリンクされている他のすべてのアカウントのパスワードのリセットを要求したりします。
アカウントの安全性を維持する方法
- カスペルスキー プレミアムを使用し、アカウントに影響するデータ流出があるかどうか自動的にチェックしましょう。そのアカウントに関連付けられている情報として、あなた自身や家族のメールアドレスや電話番号を指定できます。データ流出が検知された場合は、アプリの指示に従って、被害を軽減するようにしてください(少なくとも、パスワードはすぐに変更しましょう)。
- 突然OTPを受信した場合は、特に注意する必要があります。誰かがあなたをハッキングしようとしている可能性があります。この場合の対処方法の詳細は、こちらの手順を参照してください。
- パスワードマネージャーを使用して、すべてのアカウントに強力な一意のパスワードを作成しましょう。パスワードを知らない限り、詐欺師はOTPボットで攻撃することができません。複雑なパスワードを作成し、安全な方法で保管しましょう。
- 個人データやOTPを入力するためのリンクが貼られたメッセージを受信した場合は、URLをよく確認しましょう。詐欺師がよく使う手口は、URLを数文字だけ変更してアドレスバーに表示させ、フィッシングサイトに誘導することです。他人に知られてはならないデータを入力する前に、アクセスしているのが正規のサイトであることを必ず確認してください。ちなみに、当社の保護機能は、フィッシングサイトへのリダイレクトが試行された場合にすべてブロックすることができます。
- OTPを他の人と共有したり、通話中にスマホのキーパッドで入力したりしないでください。銀行、店舗、サービスの正規の従業員、たとえ警察官であっても、OTPの開示を要求することは絶対にありません。
- サイバーセキュリティに関する情報を知り、詐欺師や犯罪者に対して先手を打てるようになりましょう。当社のブログでは、最新の脅威や対策など、セキュリティの強化に役立つ情報について、定期的に配信しています。