[記事紹介] ランサムウエア被害額急増、多 要素認証は時代遅れ?!
日本では角川のランサムウエア被害と4.7億ドルの身代金を支払っていた?というのがホットな話題ですが、衝撃的な内容の記事を見つけたので紹介します。
この件では各方面から非難や推測のコンテンツが上がっていますが、世界的に被害が急増しているそうです。
(記事) ランサムウェアによる損失の 500% 増加を引き起こしている理由は多要素認証の失敗
ランサムウェアの支払い増加を促す3つの要因
記事では下記の3つを理由に上げていますが、中でも3番目の対策では多要素認証が時代遅れ、という衝撃的?な内容になっています。
サイバー犯罪者による標的の絞り込み
フィッシング攻撃における生成AIの活用
時代遅れのセキュリティ対策
日本は郵政省とキャリア癒着のせいか、海外水神とかけ離れた歪な端末政策SMSがあったので多要素認証が広がったのはつい最近ですが、やっと追いついたのに…(;_;)という感じです。
MFA (多要素認証)の侵害手法
フィッシング攻撃: 攻撃者は偽のログイン ページやソーシャル エンジニアリングの戦術を使用して、ユーザーを騙して MFA 認証情報を提供させます。
SIM スワッピング: 攻撃者は、携帯電話会社に被害者の電話番号を自分が管理する SIM カードに転送するよう説得し、SMS ベースの MFA コードを傍受します。
中間者 (MitM) 攻撃: 攻撃者はユーザーとオンライン サービス間の通信を傍受し、MFA トークンを取得して認証に使用します。
マルウェア: ユーザーのデバイス上の悪意のあるソフトウェアは、認証トークン、パスワード、またはキーストロークをキャプチャし、攻撃者が MFA を回避できるようにします。
その他のソーシャル エンジニアリング: 攻撃者は、個人を操作して MFA 資格情報を明らかにさせたり、MFA 制御を回避するアクションを実行させたりする可能性があります。
セッション ハイジャック: 攻撃者はアクティブなセッション トークンにアクセスし (XSS、CSRF 攻撃、セッション固定など)、それを使用して MFA をバイパスします。セッション トークンを取得すると、再認証を必要とせずにユーザーになりすますことができます。
アカウント回復プロセスの悪用:攻撃者はアカウント回復プロセスの弱点を悪用してユーザーの MFA 設定をリセットし、多くの場合 MFA をバイパスします
対策: 次世代 MFA を実装
生体認証の重要性
パスワードやトークンとは異なり、生体認証特性は各個人に固有のものであり、複製または盗難が極めて困難です。
生体認証データは本質的に個人にリンクされているため、共有や転送が不可能であり、資格情報の盗難のリスクが軽減されます。
生体認証は、不適切なパスワードの使用を排除し、一般的な攻撃ベクトルである弱いパスワード、再利用されたパスワード、または侵害されたパスワードに関連するリスクを軽減するのに役立ちます。
生体認証は、偽の Web サイトで簡単に取得または入力できないため、フィッシング攻撃の影響を受けません。
生体認証は、システムにアクセスする個人が実際に本人であることを確認することで詐欺行為を減らし、個人情報の盗難や不正アクセスを防ぎます。
適切な MFA ソリューションの選択
紹介記事では最後に、厳しく以下のように締めくくっています。
実はベトナムでも7月から生体認証が義務化
ベトナムでは7月1日から、アプリ送金では一定額以上で生体認証が義務化されました。なりすましなど様々な振込詐欺の被害が急増しているそうで、その対策ということです。
(外国人は生体認証のために銀行支店を訪問するよう勧告)
いつものごとく決まったのが急で、各銀行は当日〜翌週にかけて大混乱。
生体認証の処理中にサーバーがパンクし今週まで混乱が広がりました。
わたしも先週の金曜日に「窓口に来い!」とメールが来たのですが(どうせトラブルで処理できないよねぇ。。。)と言うことでパス!しようと思ったら妻が「言われた通りして、外国人なんだから面倒なことになるよ!」というので口座の銀行窓口へ行きました。 しかし、予想通りアプリがエラー。。。サーバーが応答していませんでした(笑
政府からカナリ強くお達しがあったようで、ベトナムでは珍しく日曜日に再度連絡が来て窓口へ出頭。今度は無事に手続きできました。(了
サポートありがとうございます😊 ベトナムにお越しの際はお声がけくださいね🌻