フィッシング対策

SSLサーバー証明書に騙されない!すべてのカギマークが安全とは限りません

SSL証明書に騙されない!すべてのカギマークが安全とは限りません。 Stefanie Ellis Portfolio Marketing Manager, MarkMonitor 2019年5月16日 Facebookでつながりのあるセキュリティ業界以外の友人を対象に、アドレスバーに表示される南京錠アイコンとその意味について、非公式の調査を行いました。結果は、「わからない」、「閲覧中のウェブサイトが安全であるという意味」や「httpsの末尾の『s』がついている理由」という回答に分かれました。残念ながら、南京錠やhttpsの末尾の「s」は、閲覧中のウェブサイトが有効かつ正規のもので、そのウェブサイトは安全であるという誤った認識を持っていることがわかりました。   南京錠アイコン(あるいは、「Secure」という言葉や、時には組織名)とhttpsの末尾の「s」は、閲覧中のウェブサイトの所有者が、ユーザーのブラウザからウェブサイトに転送されるデータを暗号化するSSLサーバー証明書を購入していることを意味しています。   ところが、ウェブサイト自体は、必ずしも正規で安全なものであるとは限りません。この違いが重要なのです。   SSLサーバー証明書とは何か? SSLとは、ウェブサーバーとブラウザ間の通信チャネルを暗号化するテクノロジー名である「Secure Sockets Layer」の頭文字です。ウェブアドレスに含まれるhttpの末尾の「s」は、このテクノロジーが使われていることを示しています。送信データの機密性を守るためのものです。   SSLによるユーザーデータの保護は、業界基準として、インターネット全体で広く活用されています。通信チャネルをSSL暗号化するためには、ウェブサイトの所有者が認証局(CA)からSSLサーバー証明書を購入しなければなりません。   (命名規則に関する注記:SSLは、Transport Layer Securityを意味するTLSとも呼ばれます。これは、基本的に新しいバージョンのSSLです。多くのベンダーは「SSL/TLSサーバー証明書」というフレーズを使用していますが、これらのプロトコルは証明書そのものではなく、サーバー設定で決まるものであるため、正確には「SSLやTLSを使用していることの証明」と呼ぶべきでしょう。ここでは、SSLサーバー証明書と総称します。)   ほとんどのユーザーが知らないこと 購入可能なSSLサーバー証明書には、さまざまなレベルがあります。ベーシックな証明書は、ドメイン認定(DV)型です。これは、単に申請者がドメイン名を管理していること(WHOISの連絡先宛てに送信されたEメールに返信する、特定のTXTレコードをそのドメイン名のDNSゾーンファイルに追加する、あるいは特定のテキストファイルをドメイン名のウェブサイトに追加すること)を証明するものです。   企業認証(OV)SSLサーバー証明書の認定プロセスには、ドメイン所有権や組織情報の確認作業が含まれるため、DV証明書よりも認定に時間がかかります。推奨されるのは、OV証明書です。CAが発行前に最も厳しい認証プロセスを適用しているのは、拡張認証(Extended Validation: EV)SSLサーバー証明書です。そのため、EV証明書は、金融機関やeコマースサイトで一般的に多く使用されています。   各種ブラウザで、EV、OV、DV証明書を区別する方法は標準化されていません。Firefoxでは、EV証明書を所有するウェブサイトの場合、アドレスバーに会社名が表示され、OVやDV証明書の場合には、セキュアなウェブサイトの名前がリストに記載されます。 ところが、ChromeではEV、OV、DVの違いを区別しておらず、「Secure」と示しているだけです。   HTTPSは、サイトが安全だという意味ではない サイバー犯罪者は、インターネットユーザーにサイトが安全であると信じさせるためのトリックを考え出しました。   最近まで、多くのサイバー犯罪者は、コストの点から自身のサイトにSSLサーバー証明書を登録していませんでした。またCAもSSLサーバー証明書を発行する前に組織の審査を行っていました。ところが最近になって、この取り組みを主導していたLet’s Encryptなどの組織とComodoが、短期(90日間)限定のSSLサーバー証明書付きドメインの発行にかかる手数料を廃止したことで情勢が変わり、SSLサーバー証明書を使用するためのプロセスが大幅に簡略化されました。   それにより証明書を購入できない多くのウェブサイトや、証明書を管理する技術的知識のないウェブサイトのトラフィックを安全なものへと変えることができます。ところが、不運にも、正規のユーザーを保護するために暗号化されるウェブサイトが増える一方で、サイバー犯罪者にこの取り組みを悪用されるケースもまた、大幅に増加しました。   SSLサーバー証明書を無料で簡単に登録できるようになったことで、サイバー犯罪者に、一般ユーザーの「https/南京錠/『Secure』表示=安全なサイト」という認識を悪用した攻撃手段を与えてしまうことになりました。SSLサーバー証明書がセキュリティに関して間違った印象を与え、さらに多くのユーザーがフィッシングサイトの被害にあっています。   MarkMonitorは、SSLサーバー証明書を使用しているフィッシングサイトの数を追跡しています。以下のグラフは、2018年1月から2019年2月の期間に確認された、SSLサーバー証明書を使用しているフィッシングサイト割合を示したものです。10月に証明書を使用しているフィッシングサイト数が急増し、ピーク値を記録しましたが、2019年2月現在もほぼ横ばいになっています。   ウェブブラウザはこの問題を防止できない ウェブブラウザは長期に渡り、httpsの安全性を信用するようにユーザーを促してきました。ところが、一般的に、SSLサーバー証明書は通信チャネルの暗号化は証明しているものの、そのウェブサイトの信頼性を認定してはおらず、ウェブアプリケーションのセキュリティを示すものでもありません。   ウェブブラウザは、安全なオンライン体験の確立を重視しているため、消費者の保護を強化する責任の一端を担っています。Google ChromeやMozilla Firefoxは、クレジットカードやパスワードの入力欄が含まれるウェブサイトページが暗号化されていない場合、必ずアドレスバーに「Not Secure」と表示するようにしました(HTTPSではなく、HTTPを使用しているサイトは、SSLを使用していないことを意味します)。また、Chrome 62では、データ入力欄が含まれるすべてのページで、同じ対応を行っています。 […]

税務に関する詐欺メール攻撃を防ぐ

税務に関する詐欺メール攻撃を防ぐ Stefanie Ellis Portfolio Marketing Manager 2019年3月6日   多くの人たちは、給与明細を見て、給与から差し引かれる税金の額に嘆いていることでしょう。しかし一方でそれが公共のサービスに役立つことも理解しています。もし税金の還付資格がある、または税の未払いで法的措置を取るといったメールを税務署から受け取ったとしたらどうでしょうか?受け取った人は直ちに行動を起こそうとし、少しも考えずに返信してしまうかもしれません。   2017-18年の間でHMRCは税金還付とリベート詐欺の被害報告を771,227件確認しています。この手法はオンライン上の犯罪者が個人情報にアクセスするのに非常に効果的な方法であるため、減少することはないでしょう。データ漏洩と侵害調査に関するVerizonの報告によると、約4人に1人(23%)がフィッシングメールを開封しています。   税務専門家も被害者に 被害に遭っているのは個人の納税者だけではありません。 問題は広範囲に及んでおり、個人と企業の両方に被害が確認されています。   ネット犯罪者は顧客情報にアクセスするために税務専門家を標的にしています。 米国内国歳入庁(IRS)によっても強調されていましたが、フィッシングメールは重要なソフトウェア更新を装い、システムに侵入し、1回の攻撃で大量のデータを盗もうとします。2018年、IRSは、金銭や税金データを盗もうとする偽の電子メールスキームが60%増加したと発表しました。また、米国は現在、税務シーズンに入っており、通常より詐欺メールが多い時期になっています。詐欺メールは、個人の給与明細だけでなく、社会保障番号と住所も開示する従業員のW-2ファイルを要求していることから、人事または給与管理者が対標的となっています。   用心深く IRSとHMRCはどちらも、フィッシングや詐欺を確認して報告するための包括的なサービスとアドバイスを提供しています。 また雇用主が従業員と顧客のデータを守るために実行できる対策もあります。MarkMonitorには、オンライン上の脅威を防止、検出、軽減することでビジネスを保護するフィッシング対策ソリューションがあります。 MarkMonitorのサービスがあったとしても、従業員は自分たちが詐欺師に対する最初の防衛線であることを認識し、従業員の機密情報を漏洩する前に十分な確認を行うようにしましょう。 HMRCではこちらでメール詐欺の報告をお願いしています。IRSは、W-2詐欺を受け取る組織が、件名「W2詐欺」およびFBIのインターネット犯罪苦情処理センター(IC3)でIRSに連絡することを推奨しています。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

フィッシング詐欺に狙われる仮想通貨

フィッシング詐欺に狙われる仮想通貨 Stefanie Ellis, Portfolio Marketing Manager, MarkMonitor   2018年10月2日 かつて、ほとんどのフィッシングメールが金融機関の「なりすまし」でした。また文面が単純だったため、簡単に見破ることができていました。   しかし現代のフィッシング詐欺は、さまざまな方法で企業、社員、消費者を狙い、攻撃経路も1つではありません。社会がオンライン処理に依存すればするほど、詐欺の手口もより巧妙かつ革新的になってきました。代表的な例は、「クリプトフィッシング」と呼ばれる、オンライン上の金銭取引に仮想通貨が利用されるようになったことで登場した新しい形のオンラインフィッシングです。クリプトフィッシングについて後述しますが、まずは仮想通貨について見ていきましょう。   仮想通貨とは何か? 本ブログを執筆している時点で、2,004種類の仮想通貨と、14,000以上の仮想通貨市場が存在します。ここで仮想通貨に関するインフォグラフィック(英語)をご覧いただけますが、知っておくべき重要な仮想通貨用語を以下にまとめます。   仮想通貨/コイン/トークン: 仮想通貨は、シンプルにトークンと呼ぶことができます。トークンは、その仮想通貨の価値を表す単位と言えます。仮想通貨トークンの所有権は、デジタル台帳(通常は、ブロックチェーン)に記録されます。   ブロックチェーン: データベースプロトコルの1つです。仮想通貨の分野において、ブロックチェーンとは、パブリックな分散型台帳で、仮想通貨の取引や残高をデジタルで記録します。暗号学的ハッシュで安全性が保たれています。すべての仮想通貨がブロックチェーンを使用しているわけではありません。ブロックチェーンは、取引台帳以外の役割も果たし、あらゆる種類の連続したデータブロックを保存することができます(ブロックチェーンや、その他のハッシュを利用したシステムの可能性は、データベースと同様に無限だと言えます)。   仮想通貨ウォレット: 仮想通貨取引を実行したり、仮想通貨アドレスに紐付けされる残高を確認するためのソフトウェアです。具体的には、秘密鍵をコントロールするウォレット内で、秘密鍵と公開鍵に紐づけられた残高にアクセスしたり、秘密鍵を使って取引を実行するためのソフトウェアです。 注意: 取引所のcustodial型(保管型)ウォレットのような特定の種類のウォレットでは、秘密鍵を管理しませんが、残高が保管される場所のアドレスを表示します。これらもウォレットと呼ばれます。   鍵(暗号鍵): 仮想通貨は、主に公開鍵暗号に基づいています。1つの鍵は公開され(公開鍵)、もう一方は公開できない(秘密鍵)ものです。公開アドレスとは、コインを送金するための公開されているアカウント番号で、秘密鍵のハッシュである公開鍵を持っています。秘密鍵は独自の個人パスワード(暗号化された秘密鍵など)で、署名をすればコインを送金できます。秘密鍵は、仮想通貨ウォレットにアクセスするときに必要なあらゆる情報の源であるため、絶対に共有しないようにしましょう。   クリプトフィッシングの仕組み クリプトフィッシングが蔓延した主な原因は、暗号鍵です。従来型の銀行口座を狙うフィッシングはセキュリティ対策をくぐり抜けて送金を行い、その後、マネーロンダリングが必要となります。仮想通貨ウォレットは匿名であるため、比較的簡単に盗むことができます。   クリプトフィッシング詐欺は高度に標的化された攻撃であり、投資利益率が高いため、詐欺師にとっては組織化するとコストが高くなります。メール内容は受信者ごとにカスタマイズされ、正規のメールのように見えます。高度に標的化されているため、検知が難しく、不審メールとして通報されない可能性があります。   クリプトフィッシングは、メール以外にも、さまざまな攻撃方法を利用しているのでさらに状況を難しくしています。クリプトフィッシング詐欺は、SNSを利用することが確認されています。たとえば、有名な正規の仮想通貨のソーシャルグループになりすました偽のSNSプロフィールで、グループ内のメンバーを標的にすることもあります。また、クリプトフィッシング詐欺は、広告ワードを購入し、有料検索エンジンの検索結果にフィッシングサイトへのリンクを載せていることも知られています。   クリプトフィッシングメールは、ウェブウォレット、仮想通貨取引、ブロックチェーンなど、あらゆる仮想通貨関連のエンティティになりすまします。脆弱性は主に、ユーザーがオンラインまたはモバイルデバイスから仮想通貨ウォレットにアクセスする際に発生します(コンピューターや外部デバイスに、ハードコードで保護された秘密鍵が保存されることが主な原因ではありません)。   上記のフィッシングの例では、フィッシングサイトが秘密鍵やニーモニックフレーズ、あるいは特定のファイル情報を要請することで、ユーザーの仮想通貨ウォレットへのアクセスを試みます。   まとめ 仮想通貨の普及に伴い、仮想通貨処理プロセスを狙うフィッシング詐欺は増加するでしょう。新たな金融手段の登場に伴い、ソーシャルエンジニアリングの被害者となり、脆弱性が生まれます。仮想通貨ウォレットのログインや秘密鍵のセキュリティを確保することが、極めて重要です。取引所、通貨、ウォレットソフトウェアは、処理を匿名化することで、フィッシングによる損害の責任を回避しています。従来型の銀行とは異なり、詐欺による損害を補償する保険はありません。   仮想通貨に関するその他の基本情報: https://cryptocurrencyfacts.com/ https://blockgeeks.com/guides/what-is-cryptocurrency/ https://www.investopedia.com/articles/investing/082914/basics-buying-and-investing-bitcoin.asp   MarkMonitorのソリューションについてはこちら 英語原文はこちら