- 1Passwordが新しいフィッシング対策ツールを発表
- 認識されていないWebサイトでは自動入力は自動的に行われない
- 認証情報を貼り付けようとすると、悪意のあるURLについて警告する
フィッシング攻撃は、数百万ドル規模の損失から信用スコアの悪化、銀行口座の不正利用まで、企業や消費者に甚大な被害をもたらしかねません。
幸いにも、最高クラスのパスワードマネージャーの1つである1Passwordが、新しい組み込みのフィッシング対策ツールを公開しました。
新ツールは、保存済みの認証情報に紐づけて保存されているURLと、アクセスしようとしているURLを比較し、何かが一致しない場合に警告を表示します。
なりすましURLは過去のものになるかもしれない
ハッカーはしばしば、タイポスクワッティング(typo-squatting)やURLハイジャックと呼ばれる手法を使い、被害者が気づかないうちに認証情報を渡してしまうよう誘導します。実際、最近の1Passwordの調査では、米国人の89%がフィッシング詐欺に遭遇したことがあり、61%が少なくとも一度は被害に遭ったことがあると分かりました。
場合によっては、見落としやすい/打ち間違えやすい1文字を削除したり(gogle.com や google.co)、きちんと確認しないと正しく見えてしまう文字をURL内に追加したりします(gccgle.com や gooogle.com)。
今後、フィッシングの可能性があるサイトにアクセスする際、1PasswordはそのサイトのURLを、ユーザーの認証情報保管庫に保存されているURLと比較します。両者が一致しない場合、1Passwordは認証情報を自動入力しません。
その後ユーザーが保存済みの認証情報をサイトに貼り付けようとすると、ポップアップが表示され、URLが認証情報保管庫内のどのURLとも一致しないこと、そしてそのURLが正規のものではない可能性があることを警告します。
新機能は、個人向けおよびファミリー向けの全プランで展開時にデフォルトで有効になります。また、1Password for Businessの管理者は、1Password管理コンソールの「認証ポリシー」から、従業員向けに強化されたフィッシング対策を有効化できます。
1Password presents: フィッシング防止 – YouTube
1Passwordのグローバル・アドバイザリーCISOであるDave Lewis氏は次のように述べています。「フィッシング攻撃に先手を打つには、要はコミュニケーションです。それが詐欺師の計画を狂わせます。従業員が不審なメッセージを受け取ったときにできる最も重要なことは、誰かに伝えることです。」
「多くの攻撃は、隣の席の人のところへ行って『ねえ、これっておかしくない?』と言うだけで防げる可能性があります。すでにフィッシング被害に遭ったと思う場合は、直ちにIT部門へ通知すべきです。こうしたスキルは良いトレーニングで身につくもので、緊急性が高く不安をあおるようなメッセージを受け取ったときに思い出せるよう、継続的に強化していく必要があります。」
フィッシング詐欺を見分けて回避するためのヒントや、新ツールに関する詳細は、1Passwordブログをご覧ください。
