オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

増え続ける「パスワード詐欺」場面の判断基準とトレードオフってなんだろう?

»

米Microsoftのオンラインゲームサービス「XBox Live」のポイントがもらえるとしてユーザーをだまし、アカウント情報を盗もうとする詐欺プログラムが見つかった。セキュリティ企業のFaceTime Communicationsがブログで伝えた。

 FaceTimeによると、この手口ではXBox Liveで有料コンテンツの購入に利用できるMicrosoftポイントが獲得できると偽って、「Microsoft Point Generator」という画面でユーザーにWindows LiveのIDとパスワードを入力するよう促す。最後に「Generator Points」のボタンを押すと、入力した情報が詐欺を仕掛けた相手に電子メール経由で送られる。

いろんな手を使って、やってきますねぇ。ネットだけの話じゃないです。チョコレートとパスワードのトレードオフ64%→21%に減少(英国の場合)で書きましたが、駅前でチョコレートと交換にパスワードを教えてしまうこともあるのです。英国の事例ですが日本でも、そんなに変わらないと思います。チョコというエサが他のものに変われば、もっと釣れるでしょう。詳細は上記からどうぞ。

で、今回のXBoxにしても、何を基準に疑えば良いのでしょう?

3年前くらいに、銀行名をかたりCDが送付された事件がありました。このCDには「緊急セキュリティ対策CD」と書かれており、即実行するように・・・となっていました。

緊急セキュリティ対策。。。ヤバイ、速攻でインストールしないと。。。となるはずです。

送られたCDには、キーストロークモニター(キーボード何を打ったかわかる悪意なツール)が入っていました。これを入れてしまうと、メールも文章も、ネット検索も・・・もちろんパスワードも盗られてしまいます。ようはキーを叩いたもの「すべて」を記録するものなのです。

犯人は逮捕され、その後似たような事件は起きてませんが、銀行名をかたった郵便物を疑うでしょうか?正当な言い方をすれば、銀行に限らず「疑うべき」です。が、現実には、そこまでするでしょうか?

XBoxにしてもポイントがもらえるとなれば、ポイントを加算するためのIDは「教えてしまう」でしょう。もちろん、そのIDを持っている人の確認のためにも、IDと対のパスワードを聞かれても、何の疑問ももたないでしょう。これが普通だと思うのです。

最近ではポイントのたまる機会が増えました。買い物にしても航空会社のマイレージなどにしても。

また、キャンペーンなども頻繁に行っているので、アヤシイと思うことは少ないでしょう。

何をもって「安全なのか?」「アヤシイのか?」判断する基準は少ないと思います。

先のチョコレートだけで、パスワード教えちゃうのですから・・・

情報セキュリティ標語:「無料とは、結局高く、つくものだ」と同じく、タダより高いものはない!との認識を持つしかないのでしょう!トレードオフしても、それ以上の期待値が見込めるのであれあばOKですが、目の前の「おいしそうに見えるエサ」だけで判断し、トレードオフする機会って多いと思うのです。相手も、こちらも、期待がある。それは乖離しているので、妥協点が納得いくならば、それも1つの判断基準になる考えます。

どのような手段を使っても、敵は「今以上に悪質化」していくことは、間違いないです。大勢の目に触れるようにして、どれだけの人が準備された「ワナ」に落ちるか?だけです。なので、大量にばらまきエサにかかった獲物をクモの巣でキャッチできるか?・・・ただただ、それだけなのです。相手にしてみれば、誰でもいいのです。

誰でもいい人にならないためにも、明確な基準はありませんが、要注意しかないですね。

Comment(0)

コメント

コメントを投稿する