インフォスティーラーのリスクを減らすためにどうする?
ネット証券の情報が盗まれたときに言われていたのが、「ブラウザに認証情報を保存するのは危険」という誤った知識です。なるほど確かに、インフォスティーラーはブラウザに保存された認証情報を盗みます。紙に書いたパスワード情報を手元で管理した方が安全そうに思えます。
──しかし、考えてみてください。
インフォスティーラーに感染している時点でその端末はボット化して犯罪者が操作可能な状態かもしれません。あるいはダウンローダーはキーロガーをダウンロードしていて、口座情報を手入力したことを記録する状態になっているかもしれません。これでは紙を見て手打ちしても意味がありません。
そもそもブラウザの認証情報は暗号化されて厳重に管理されており、それ自体は危険ではありません。日本人は認証情報をブラウザのパスワードマネージャーで管理することや、認証情報の管理ソフトを使うことに抵抗がある人が多いです。しかし、手書きだと複雑なパスワードを多数管理することは現実的ではありません。実際に日本よりはるかにサイバー犯罪が多い欧米ではブラウザに認証情報を保存する比率が高いです。
逆に日本ではパスワードの使いまわしが多いことが指摘されているので、暗記に頼る人が多いのでしょう。人間が考えるパスワードは脆弱になりがちです。先頭が大文字で末尾に数字や記号を配置することが多いなど、パスワード命名規則の癖はかなり分析されています。
多要素認証(MFA)を設定することで認証情報を窃取された際のリスクを緩和できると説明する専門家もいます。
たしかに、スマホに認証コードが送られてくるものを第三者が入手できる手段は限られます。銀行のキャッシュカードを使ってATMから現金を引き出す場合にたった4桁のパスワードで済むのもMFAが成立しているからで、二つの要素を必須とするだけで非常にセキュアになります。
しかし、思い出してください。繰り返しになりますが、インフォスティーラーが入っている時点でその端末は他のマルウェアにも感染している可能性があります。その端末から認証情報を入力するのであれば、多要素認証も効果を発揮できません。
では、インフォスティーラー対策をどのように考えるべきでしょうか。古典的ですが、趣味と口座取引でPCを分けることが効果的です。どうしても自由にソフトウェアを導入し、ブラウザを便利なプラグインでカスタマイズしたい方は自由に使うための端末を分ければいいのです。個人への攻撃はラテラルムーブメント(横展開による感染拡大)されるリスクは大きくありません。
そのためにPCを2台用意できないということであれば、スマホを使うのはどうでしょう。スマホアプリで目的の操作が完結するならその方が安全です。スマホは権限管理もPCより見えやすいですし、証券会社が用意したアプリであれば安全性は高いです。特にアプリ側の権限が明確に制限されているため、他のアプリやOSの情報を無断で参照しにくい構造になっている点がPCと違います。
スマホであればスミッシング(SMSフィッシング)など別のリスクが高まりますが、証券取引や口座情報に接続する目的ならPCより総じてリスクが低いように思います。ですが、どんな種類のマルウェアにも感染しないように普段の行動を徹底することが何よりも大事です。
まとめ
インフォスティーラーは既知のマルウェアの感染手口、もしくはフィッシングサイトによる情報窃取が原因である可能性が高いです。これほど被害が拡大した理由は、新しいマルウェアが登場したというより、証券を現金化する手口が新しく編み出されたためである可能性があります。
そのため、サイバーセキュリティの観点では、特別な警戒をするよりも、マルウェアに感染しない一般的な対策をしっかり行うことが大事だと訴えたいです。
次回は、セキュリティ製品のアラートを対処する上で混同されることも多い「SOCとCSIRTの重要性の理解」について解説します。
