体験を伝える―『ガジェット通信』の考え方

面白いものを探しにいこう 本物を体験し体感しよう 会いたい人に会いに行こう 見たことのないものを見に行こう そしてそれをやわらかくみんなに伝えよう [→ガジェ通についてもっと詳しく] [→ガジェット通信フロアについて]

ワンタイムパスワードをハッキングする手口とは

ワンタイムパスワードをハッキングする手口とは

仮想通貨でワンタイムパスワードなどの2段階認証でログインしていたのに、アカウントが乗っ取られて盗難に遭ったという事件が発生。Bitcoinなどの仮想通貨は匿名性が高いため、取引所の口座を乗っ取って自分の口座へ通貨を移せば追跡は困難です。ワンタイムパスワードをハッキングする手口を見ていきます。

ワンタイムパスワードは自動変更

日本の場合は取引所が金融庁の登録制になったことで、悪意のある口座や犯罪が行われた口座の開示要求が可能になりました。が、海外の取引所では法整備が無いところも多く、その口座へ送金されてしまったらお手上げです。

安全性を高める手段として使われる2段階認証には、SMSで端末にコードが送られてくるものや、ワンタイムパスワードで確認するものがあります。「Google Authenticator」といったアプリに代表されるワンタイムパスワードは、現在でもクラックされてないのにどうしてこのような犯罪が起きたのでしょうか。

仮想通貨を始めたばかりの人はブックマークからではなく、検索で仮想通貨の取引所名を毎回入力。検索で見つけたサイトでログインするケースが多いのですが、これが危険なのです。

偽サイト(フィッシングサイト)の多くは、アフィリエイト付きの解説ページや初心者向けの解説ページに偽装し、リンク先を偽ログイン画面にしていたりします。この偽サイトは自動化されていることがミソです。

ワンタイムパスワードのハッキング

ワンタイムパスワードは30秒ごとにパスワード(6ケタのコード)が自動変更されます。偽サイトで入手したIDやパスワードを、サイトにアクセスして手入力していては間に合いません。偽サイトに埋め込んだスクリプトにより自動的に、情報入手→ログイン→登録情報変更を行い、乗っ取り完了です。

このサイトはIDとパスワードの組み合わせが何であっても、次の画面に遷移します。アカウントの持ち主には全く気づかれないまま、悪意のある偽サイトの管理者へ情報送信してしまうのですから厄介です。

ワンタイムパスワードのハッキングを防止するには、ブックマークやショートカットで正しいURLを登録し、必ずそこからログインすること。また、外出先の野良Wi-Fiやネットカフェではローカル側のDNSを書き換えて、正しいURLであるにもかかわらず偽サイトへ誘導するという手口もあります。

出先の場合は、LTEで接続するなどして対策を怠らないように。自分の財産を守るために「多少の手間でも安全性を最優先して下さい」と言うのは簡単。ですが、こうした手口の恐ろしさを知れば、自ずと手間を惜しまなくなるのではないでしょうか。(文/石川英治)

関連記事リンク(外部サイト)

迷惑メールのお金を受け取って系に返信してみる
USBに挿すだけでバックドアが作れるデバイス
Tor Browserを使って完全匿名で情報収集する
ネットストーカーの情報収集テクを知っておく
無料のセキュリティソフトならAviraがオススメ

ラジオライフ.comの記事一覧をみる
  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。