Vol.133 「アカウント乗っ取り」の危険度トップはフィッシング!

「アカウント乗っ取り」の危険度トップはフィッシング!

被害者の97%は、被害後も対策せず!

少し前の話題になりますが、米Googleが昨年11月9日に発表した「アカウント乗っ取りに関する調査結果」をご存知でしょうか。この調査は2016年3月~2017年3月の1年間で、盗まれた個人データが売買されている「ブラックマーケット」と、「フィッシング」と「キーロギング」に使われる25,000件のツールを解析し、被害に遭ったGoogleアカウントの実態を調査したものです。

★情報が盗まれた「手口」として、多かった順に並べると以下の結果です。
---------------------------------
1位:サードパーティーサービスへのセキュリティ侵害=33億件
2位:フィッシング(なりすまし詐欺)=1,200万件
3位:キーロガー(※1):78.8万件

※1:「キーロガー」とは、キーボードの操作内容を記録してしまうツールです。
---------------------------------
「サードパーティーサービスへのセキュリティ侵害」が圧倒的に多いですが、これはあくまでも単に件数として多かった「手口」であり、「ユーザーにとっての“危険度”」については別の見解をしています。調査結果の中でGoogleは、「ユーザーにとって最も危険度が高いのは“フィッシング”である」と結論付けました。

★その詳細は以下の通りです。
---------------------------------
☆最も件数が多かった「サードパーティーへのセキュリティ侵害」で盗まれたデータは、Googleアカウントと同じパスワードの再利用によるもので、パスワードのみではGoogleアカウントへ侵入できない。

☆ユーザーにとっての危険度が高い順に並べると、「フィッシング」>「キーロガー」>「サードパーティー侵害」の順となる。フィッシングでは、より多くの情報が収集されてしまうるためである。

☆Googleはカリフォルニア大学バークリー校と共同で、公開されているハッカーフォーラムなどを対象にウェブクローラを利用して、認証情報漏えいの危険性を調査した。

☆19億件もの認証情報がデータ漏えいによって無防備な状態になっており、その大多数は非公開フォーラムで取引されていた。

☆無防備な状態にある認証情報のうち、Gmailユーザーが現在使用しているパスワードと一致したのはわずか7%だったのに対し、「フィッシング攻撃」で危険にさらされた認証情報のおよそ約25%が、現在のGoogleパスワードに一致した。

☆「フィッシングキット」は、被害者の位置情報や秘密の質問、電話番号、デバイスの識別子など、ユーザーがログインする際にGoogleがリスク評価で利用するものと同じ詳細情報を入手するため、アカウントの乗っ取りに成功する確率が高くなる。

☆それを裏付けるかのように、約1万件の「フィッシングキット」のうち83%が、被害者の位置情報を収集し、18%が電話番号を収集していた。

☆それに対し、「キーロガー」で電話番号や秘密の質問を収集するものは0.1%に満たない。
---------------------------------
いかがでしたでしょうか。
Googleはこうした被害を防ぐために、「Safe Browsing(※2)」や新しい端末からログインされたことをメールで通知する機能など、さまざまな対策を提供していますが、被害に遭ったユーザーのうち、被害後にセキュリティ対策を追加したのは、わずか3.1%だったそうです。

情報漏えい事故によって企業・個人に与える被害の内容や大きさについては、日々メディアでも目にしていますが、個人レベルでの危機感となるとまだまだ希薄な実態がうかがえます。この結果に対してGoogleでは「潜在的な解決策としてユーザーに対するパスワード管理と偽造不可能な2要素認証についての教育を強化する必要性を示している」と結論付けました。
こちらの記事を見て気になられた方は、この機会に一度ご検討してみてはいかがでしょうか。今後も適時、情報セキュリティに関する話題をご紹介して参ります。

■2017年11月9日(現地時間)米Google発表:アカウント乗っ取りに関する調査結果
https://static.googleusercontent.com/media/research.google.com/en//pubs/archive/46437.pdf

■※2:Google「Safe Browsing」
https://safebrowsing.google.com/

ページトップへ