【総まとめ】＜フィッシング･Infostealer＞個人や企業の抜本対策は？ログインは｢ブックマークか公式アプリ｣､ダミー認証情報で脅威を事前想定

さらに、投入したダミーの認証情報を利用したアクセス状況を確認しておき、実際にアクセスが確認されたら、自社サービスが標的にされる予兆なので、最大限警戒してください。

以前は、利用者が多い配送会社のサイトやECサイトをかたるフィッシングサイト上でクレジットカードの情報が盗まれるケースが多かったですが、昨今では模倣されるサイトの種別や企業が広がりつつあるため、これも注意が必要です。

フィッシングサイトで収集されている情報が確認できたら、その情報を用いて起こりうる「脅威シナリオ」を検討し、あらかじめ対策を考えておくのがよいでしょう。事前に対策まで実行できればベストですが、考えられるあらゆるリスクに対応できるリソースや予算を持ち合わせた組織はそうありませんので、そのシナリオが発生する可能性と生じる影響の度合いに応じて、優先度を設定しましょう。

例えば証券会社のフィッシングサイトの例では、ログインID・パスワードに加えて、「取引用暗証番号」が収集されていました。この情報が悪用されると、実際に不正取引が発生しうるため、追加認証を設けたりリスクベース認証を強化するなどの対策が必要となります。

長期的な視点でのフィッシング対策としては、FIDO2に準拠したフィッシング耐性のあるパスキーなどの導入です。不正アクセス対策として多要素認証自体は標準的な機能となりつつありますが、SMSやメールでワンタイムパスワードを送付したり、アプリによる承認を求める方式では、リアルタイムフィッシングやAiTM型フィッシングへの有効な対策にはなりません。これらの方式は非推奨の流れとなっているため、将来的にはパスキーなどFIDO2準拠の認証機能が強く求められると予想されます。

フィッシング対策協議会よりWEBサイト運営者におけるフィッシング対策を包括的にまとめたフィッシング対策ガイドラインも公開されているためご一読をおすすめします。

国内外の多様なWebサービスの認証情報が漏洩している

Webサービスを提供している事業者のInfostealer対策では、サービス利用者のPCがInfostealerに感染して情報が漏洩していることを考慮する必要があります。マクニカの調査では、ランダムで選定した国内外のさまざまなジャンルのWebサービスの認証情報が、ダークウェブ上に漏洩していることを確認しています。