YouTuberを襲うサイバー攻撃が進行中、二段階認証も突破される新手口とは
コメント
選択しているユーザー
注目のコメント
いずれも、フィッシングサイトに引っかかってパスワードを抜かれていますが、
そこで用いられているドメインは、
"@gmail.com"
Googleの正式サポートからは、"@google.com"
Youtubeの正式運営からは、"@youtube.com"
というメールアドレスから連絡が来ますので、
きちんとドメインを確認してから開くことで防ぐことができます2段階認証と2要素認証は違います。多くの場合、第1認証はパスワードでしょう。第2認証がSMSやメールで送られてくるワンタイムパスワード(認証コードと呼ばれることも)の場合、2段階ではあっても2要素とは言えないですね。単なるテキストデータは、フィッシングサイトが中継して、本サイトにそのワンタイムパスワードを送れば、認証されてしまうのですから。
第2認証が、生体認証(指紋や顔認証)の場合は、フィッシングサイトで中継することはできないできない(はず、実装による)です。あるいは、本サイトが提供している認証用アプリをインストールしていて、そのアプリに通知がきて認証するといった方式の場合は、アプリは本サイトと直接通信し、フィッシングサイトを経由しませんから、ワンタイムパスワードを入力する方式よりははるかに安全なはずです。
これだけ、フィッシングに引っかかる人が多いと、2要素のめの認証は、端末(スマホ等)と本サイトが直接通信し、フィッシングサイトに横取りされる危険性がない方式でないと役に立ちませんね。アカウント乗っ取り被害は大丈夫だと思いつつも、やはり念には念を入れないと!
2段階認証でもアウト。
以下の5つの対策(記事から引用)は絶対忘れないようにしよう。
(1)ドメインを確認する
普段から自分が利用しているサイトのドメイン(google.com、yahoo.co.jpなど)を覚えておいて、メールの送信元やリンク先にそのドメインが使われているかを確認しましょう。今回のフィッシングで送られているメールの発信元は「amazonses.com」などと、正しいものではありません。
(2)メールのリンクをクリックしてログインしない
フィッシングの入り口は多くがメールです。メールで届いたリンクからログインするという流れに乗らなければ、被害に遭うのを回避できます。メールを経由せずにWebサイトにログインしてマイページなどを確認すれば、本当に何か問題が発生しているのなら何らかの通知を確認できるはずです。
(3)メールのタイトルで検索してみる
ほとんどの場合、攻撃者は一人だけを狙うことはありません。成功確率を高めるため多くの人にフィッシングメールを送ります。そうすると「これはフィッシングメールだ」と気付いた人がネット上に報告している場合があります。タイトルや文面をTwitterや検索エンジンで調べてみるとヒットするかもしれません。
(4)待ってみる
それでも判断が難しければ、そのメールを2~3日放置してみましょう。Googleなどさまざまなサービスはリンクが安全かそうでないかを常にチェックしており、ブラウザで開いた際にもしメール内のリンクがブラックリストに入っていれば閲覧をブロックします。リストに入るまでに時間を要するので待つ必要があるということです。ただ、すべての詐欺サイトがリストに入るわけではないことには留意しておく必要もあります。
(5)サービスが提供しているセキュリティ診断ツールを利用する
Googleではアカウントのセキュリティを高めるためのガイドや診断ツールを提供しています。これらを参考にしてアカウントの保護に努めましょう。