世界のセキュリティ・ラボからクリッカブル・リンクはオンライン詐欺の餌食を生み出す悪習
複数あるサインオン用ページ
サインオン用ドメインが複数あることに加え,アカウントの種類ごとに異なるサインオン用ページでログインさせる,あるいはナビゲート先に応じて別のサインオン用ページを提示する企業が多い。ユーザーはWebサイトのルック&フィールを気にしなくなり,本来ならば気付いたはずの偽Webサイトとの違いを見逃しかねない。 Webサイトが「本物のように見えるかどうか」を判断基準とすべきではないが,サインオン用ページでレイアウトやブランド表示への注意が散漫になれば,罠にはまる可能性は高くなる。銀行員は偽造通貨を見つけ出すのに長けているといわれるが,それは彼らが一日中,本物の通貨に触れているからだ。サインオン用ページを一つにまとめるだけで,顧客が偽Webサイトに気付く可能性も生まれる。また,サインオン用ページは顧客が馴染みやすいよう簡単なURLとし,Webサイトのその他ページをすべて同ページにリンクさせる必要がある。 ログイン処理によるアカウント確認 攻撃者たちは長い間,あの手この手で不安をあおることで,ターゲットを騙してログインさせ,アカウント情報を確認させてきた。このような詐欺の一例は「口座が詐欺被害を受けている可能性がある」「一時停止状態となっている」「口座のロックを解除するため個人情報を確認する必要がある」といった通知だ。いずれもターゲットに対して,早急にログインするよう求める。 このような切迫した状況に置かれると,通常なら働く常識が効かなくなってしまう。企業が詐欺と同様の通知方法を採用すると,顧客が習慣的にこうした緊急通知に反応するパターンができてしまい,偽物にひっかかる可能性が高くなる。口座を凍結するような緊急性の高い通知なら,電話で連絡し,連絡してきた企業の存在を確認できる手続きが欠かせない。メールで緊急のメッセージを送信すると,トラブルを招くだけだ。 セキュリティ・イメージ 顧客のプロフィール作成時にテディ・ベアや列車など好きな画像をセキュリティ・イメージとして選ばせ,ログイン画面に同じ画像が表示されれば安全,とするWebサイトは多い。フィッシング詐欺は非常に複雑化しており,攻撃者たちのWebサイトは,合法的なWebサイトの代役を簡単に果たせる。セキュリティ・イメージを表示する攻撃はまだ広まっていないものの,いくつか事例が確認されているし,簡単に実行できる。フィッシング・サイトがユーザー名を受け付けると,本物のWebサイトにセキュリティ・イメージを問い合わせる。その後,取得したイメージを表示すれば,信用してもらえる。 セキュリティ・イメージや追加対策はセキュリティを強化するが,簡単に摸倣されてしまうため注意する必要がある。セキュリティ・イメージではなくWebサイトのURLに注意することと,セキュリティ・イメージはあくまで補助的な確認手段であることを顧客に知らせておこう。 上記の悪しき慣習に加え,企業の多くは問題点を完全に解決することなく,数字を含む強じんなパスワードやユーザー名を使えばアカウントを守れる,と顧客に指示している。セキュリティ確保目的の質問もWebサイトによく追加されているが,安全性が高まるものではない。顧客が偽サイトに情報を直接提供する状況では,これらの方法はフィッシング攻撃に対するセキュリティ強化には必ずしも結び付かない。セキュリティの質問を変えたところで,攻撃者たちがその金融機関の質問方式に手慣れていれば,簡単にフィッシングを仕掛けられる。 顧客側が詐欺を回避するための第一の防衛策は,正当な通信を見極めることだ。企業側は,(1)顧客にリンクのクリックやURLのコピー&ペーストを促さない,(2)クレジットカード番号をオンラインで入力するよう指示しない,(3)企業と一体感のあるURLを一つだけ使って顧客に見慣れてもらう,という対応をしよう。 残念ながら,Webサイトの多くがいまだに悪しき慣習を守っている。大手銀行は相変わらず,Webサイト用URLを一つに集約することなく,複数のドメインを使用している。その他の企業は,常識を完全に捨て去り,フィッシング・メールと瓜二つのメールを送信し,クリッカブル・リンクを記載して緊急の通知を行っている。最近では,米Facebookがユーザーにクリッカブル・リンクを送信し,アカウント情報を確認するよう促したとして,技術コミュニティから厳しく非難された。ただしこれはFacebookに限ったことではなく,有名オンライン企業の多くが,同様の行為を繰り返している。 AVERT(McAfee Anti-Virus Emergency Response Team:米マカフィーのウイルス対策技術研究機関)が2008年7月に発表した調査報告書によると,Fortune 500企業では,メール認証技術「SPF」(Sender Policy Framework)や送信ドメイン認証技術「DKIM」(DomainKeys Identified Mail)の利用率が低下している。これら業績好調な500社でも,今回取り上げたような簡単かつ無償の偽造対策を実施し,なりすましメールから顧客を保護しているところは半分にも満たなかった。詳細については参考記事を読んでほしい。 企業は顧客に対する詐欺を防ぐことはできないが,合法的なやり取りであることを見極められるよう顧客を啓蒙し,必要な条件を設定することはできる。そのため最初にやるべきことは,Webサイト訪問時の安全な慣習の奨励だ。顧客が被害者にならないよう支援することで,最終的には自分に降りかかってくる頭痛の種を取り除くことができ,顧客は満足を得ることで再びWebサイトに足を運ぶだろう。
Copyrights (C) 2008 McAfee, Inc. All rights reserved. 本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。 ◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Click The Link Below: The Bad Habits That Create New Victims Of Online Fraud」でお読みいただけます。
キーワード
|
|