昔は、誰でも簡単にインターネットのトラフィックを盗聴できました。データは保護されておらず、ウェブサイトのテキストや画像、ユーザー名やパスワードなど、コンピューターとサーバー間でやり取りされるすべての情報が公開されていました。ユニバーサル暗号化が導入されると、スパイ行為はブロックされましたが、残念ながら、セキュリティの強化とともに悪意のある行為者も進化していきました。
ある種類の攻撃が特によく使用されています。これは、中間者攻撃(現在は中間マシン攻撃、中間者攻撃、またはパス内攻撃と呼ばれています)として知られており、ハッカーがデバイスと通信先のサーバーの間に介入して、ログイン情報やセッション Cookie を盗み、アカウントを乗っ取ることができる攻撃です。
まず、ユーザーがフィッシングリンクをクリックし、正規ウェブサイトを模倣した偽サイトに認証情報を入力します。その後、攻撃者はユーザー名とパスワード、そしてアクセストークンを取得し、ユーザーを本物のウェブサイトにリダイレクトします。
強力で固有のパスワードが設定されているアカウントや、二要素認証(2FA)でロックダウンされているアカウントに対しても、中間者攻撃が仕掛けられる可能性があります。これは、GoogleアカウントとMicrosoftアカウントが新たなフィッシングキットの標的になったというニュースで最近話題になりました。(そう、ハッキングはソフトウェアのサブスクリプションと同じくらい簡単なものになり得るのです。)
ハッカーが2FAを「破る」ことができると知ると不安になるかもしれませんが、中間者攻撃に対して無防備というわけではありません。実際、ログイン方法を少し変えるだけでセキュリティを強化できます。もちろん、他にも役立つ対策がいくつかあります。
パスキーを使用する
グーグル
昨年、パスキーのサポートが広く展開され始めた際、専門家たちはこれをセキュリティの大きな進歩だと称賛しました。それも当然のことです。パスキーはパスワードよりも使いやすく、フィッシング攻撃で盗まれることもありません(笑)。中間者攻撃(MitM)に対して、パスキーは利用可能な最も強力な防御策の一つです。
必要なのは、スマートフォン、PC、ハードウェアキーなどのデバイスだけです。パスキーの保存をサポートするパスワードマネージャーを使用することもできます。ウェブサイトごとに、デバイスが固有のパスキーを作成します。パスキーは、公開鍵と秘密鍵の2つの暗号化鍵で構成されています。公開鍵はウェブサイトと共有され、秘密鍵はデバイス上で保護されます。公開鍵から秘密鍵を推測することはできません。また、中間者攻撃(MitM)対策として、パスキーは作成されたサイトでのみ機能します。ログイン時に、ウェブサイトはデバイスにパスキーによる認証の許可を求めるプロンプトを送信します。PINを入力するか、生体認証(指紋や顔認識など)を使用して許可を与えるだけで済みます。
Google、Microsoft、Appleなど、多くの主要ウェブサイトがパスキーをサポートしています。これらのアカウントは、制御を失うと非常に危険な場合があります。(Googleアカウントにパスキーを設定するためのガイドでは、全体的な開始方法について概要を説明しています。)実際、Gmailアカウントを標的とした最新の中間者攻撃についてコメントを求められた際、Googleはパスキーをそのような攻撃に対する脆弱性を軽減する手段として挙げました。
パスキーの主な欠点は、デバイスを紛失した場合、パスキーにアクセスできなくなる可能性があることです。そのため、バックアップを用意しておくことが重要です。
より強力な二要素認証を使用する
アライナ・イー / ファウンドリー
パスキーが導入されたとはいえ、パスワードはまだ完全に消えたわけではありません。パスキーに対応しているウェブサイトのほとんどは、依然としてパスワードをファイルに保存しています。もちろん、まだパスキーを導入していないウェブサイトもあります。
どちらの場合も、2要素認証(2FA)は依然として中間者攻撃に対抗するための最初の手段であるべきです。このような攻撃のすべてが2FAを回避しているわけではありませんし、回避できたとしても2FAが完全に役に立たなくなるわけではありません。ただ、有効な認証の種類が狭まるだけです。SMS(またはメール)で送信されたコードやアプリで生成されたコードは盗まれる可能性がありますが、FIDO2などのプロトコルを使用したハードウェアキーはパスキーと同様に機能します。認証が機能するには、信頼できるドメインからのリクエストが必要です。それ以外のドメインは、交換中に同じデータを受け取ることはありません。
ただし、セキュリティキーには費用がかかります。例えば、セキュリティ愛好家に人気のハードウェアキーブランドであるYubiKey(ベーシックモデル)は25ドルから、より幅広い2要素認証プロトコルや接続タイプに対応したモデルでは75ドルにもなります。また、パスキーと同様に、バックアップを取らずにデバイスを紛失した場合、大変な状況に陥るでしょう。
フィッシングリンクを避ける
技術アドバイザー
問題の最善の解決策は、時にはその発生源を断つことです。中間者攻撃の場合は、フィッシングリンク(およびサイト)を避けることでこれを実現できます。
これは常識的なアプローチですが、必ずしも完璧に実行できるとは限りません。フィッシングサイトに遭遇する原因は様々です。URLを誤って入力したり、悪質な広告をクリックしたり、メールやテキストメッセージをよく見ていなかったりするかもしれません。また、気が散っていなくても、急いでいなくても、AIチャットボットが非ネイティブスピーカーのフィッシングリンクに添付されるメッセージを洗練させ、偽のURLを見分けにくくするサポートをしてくれるようになりました。
しかし、それでも回避することは可能です。行動を改善することで、回避策が見つかります。アカウントへのログインやパスワードの変更を求める迷惑メッセージが届いたら、新しいタブを開いて直接サイトにアクセスしましょう。正しいサイトかどうかわからない場合は、クリックしたりフォームに入力したりする前に、アドレスをよく確認しましょう。検索結果が本当に正しいか確認したいですか?広告ブロッカーを使って、スポンサー付きの検索結果が表示されないようにしましょう。公共のWi-Fiを利用している場合は、専用のホットスポットを利用するか、少なくともVPNを使用してトラフィックを操作されないようにしましょう。
ソフトウェアも役立ちます。ウイルス対策ソフトは主要な防御線であり、独立したセキュリティスイートでも、MicrosoftのWindows標準セキュリティツールでも構いません。これらのアプリは、Webブラウジングやメールのダウンロード中に怪しいウェブサイトを自動的に検出し、既知の悪意のあるURLをブロックします。Google ChromeやMozilla Firefoxなどの最新ブラウザにもセキュリティ保護機能が組み込まれていますが、その機能はWebブラウジングのみに限られています。また、主要なウイルス対策ベンダーのブラウザ拡張機能は、危険なサイトへのアクセスをブロックするだけでなく、検索結果に安全かどうかを示すアイコンを表示することもできます。
追加の保護が進行中
IDG
パスキーへの変更、二要素認証方式のアップグレード、そして常に細心の注意を払うことは、貴重な時間を浪費する可能性があります。Googleは、ブラウジングセッションを確立する際に使用しているデバイスに関する追加情報を取得する新しいツール「デバイスバウンドセッション認証情報(DBSC)」によって、その負担を軽減しようとしています。この取り組みにより、アクセストークンの盗難がさらに困難になるでしょう。
パスキーや2要素認証のハードウェアキーと同様に、DBSCは公開鍵暗号(公開鍵と秘密鍵のペア)を採用しています。PCの場合、公開鍵と秘密鍵のペアを作成するデバイスは、Windows 11で必須のモジュールであるTrusted Platform Module(TPM)です。セッションはこのTPMと密接に連携しているため、攻撃者は盗んだ認証情報を使ってユーザーのアカウントにログインすることはできません。少なくともリモートからログインすることはできません。ハッカーはシステムに悪意のあるアプリを仕掛ける必要がありますが、これはアンチウイルスソフト(および従業員のデバイスを綿密に監視している企業のIT部門)にとって容易に発見できます。
DBSCはオープンソースとして開発されており、ウェブ標準の普遍的な強化を目指しています。セッションとデバイスのペアリングはそれぞれ異なるため、Googleがプロジェクトを主導しているとしても、プライバシーに関する懸念は少ないはずです。現在、DBSCはChrome内で初期試験段階に入っており、2024年末にはより広範な公開試験が計画されています。既に関心を示している企業には、Microsoftや大手ITサービス管理企業のOktaなどがあります。
