証券会社のサイトなどにログインする際、「未登録のデバイスです」と毎回表示されるようになりました。こういった表示が出ないようにする手順をまとめておきます。
また、最近のサイバー攻撃などについても整理をしておくことにします。
環境: Windows パソコン、Microsoft Edge ブラウザ
現象: 毎回「未登録のデバイスです」と出る!
最近、フィッシング詐欺などが急増しており、楽天証券やSBI証券などの複数の証券会社でサイトの乗っ取りの被害が出ているようです。
従来のIDとパスワードのみを使用していたサイトでは、セキュリティ対策のための改修が進んでいます。
先日、証券会社のサイトに出ている手順にしたがい、使っているデバイスを登録しました。
ところが、ログインするたびに毎回、「未登録のデバイスです ログインするために、現在利用しているデバイスを登録してください」等の表示が出ます。登録手順を再度行っても表示が出ます。
いくらかの試行錯誤ののち、上記の表示が出ないようにすることができましたので、手順をまとめ、公開しておくことにします。
手順
① お使いの証券会社などのサイトのトップページ(ログインページのあるところ)を表示してください。
正しいサイトであることを確認し、URL を確認します。
例: https://site2.sbisec.co.jp
② Microsoft Edge ブラウザの画面右上の「…」となっているアイコンをクリックし、「設定」を選択します。
③ 画面左側の「プライバシー、検索、サービス」欄をクリックします。
④ 「閲覧データをクリア」および「ブラウザーを閉じるたびにクリアするデータを選択する」をクリックします。
⑤ 「Cookie およびその他のサイト データ」の欄の「解除しない」の行で、「追加」ボタンをクリックします。
⑥ 「サイトの追加」の下のテキストボックスに、①の URL を入力します(コピー&ペーストします)。
例: https://site2.sbisec.co.jp
※ 念のため、偽サイトなどではないことを確認してください。
⑦ 「追加」ボタンをクリックします。
※ 追加が完了すると同画面に、「次のサイトの Cookie は、ブラウザを閉じてもクリアされません。」として、登録した URL が表示されます。
※ なお、「Cookie およびその他のサイト データ」の右側のトグルスイッチは、ブラウザのデフォルトでは ON になっています。
⑧ 追加が完了したら、ブラウザ画面をすべて閉じて、①のサイトに再度アクセスし、ログインをしてください。⑦の後の初回は、デバイスを登録するよう求められると思います。
⑨ デバイスを登録してログアウト後、ブラウザを立ち上げなおして、再度、ログインをしてみてください。
→ 「未登録のデバイスです」等の表示がなくなったら、設定完了です!
★ 設定がうまくできたら、念のため、ログインパスワード、取引パスワードの変更もしておくようにしましょう!
また、正しいサイトをお気に入りに登録して使うようにし、メールなどのリンクは使わないようにしましょう!
IDとパスワードなどユーザーの情報が何らかの手段で抜き取られて出回っており、証券口座が集中的に狙われているようです。
なお、上記は、指定したサイトの Cookie を残す手順となっています。Microsoft Edge ブラウザの自動アップデートや自動削除、サイト運営側が設定した Cookie の期限などにより、所定期間が過ぎると消去される場合がありますので、ご理解ください。
少し考察&余談
ちょうどよい事例なので、いくつか気づいた点などについて考察しておくことにします。
サイトの日本語表記について
ユーザーがサイトで指示された手順どおりに登録したはずなのに「未登録のデバイスです」と出るのは、サイトの設計上の不備、技術的な不備、ウェブサイトのリリース前のテストでの見落とし、がある印象を受けます。
サイトに表示されている「デバイスを登録してください」という日本語を素朴に読むと、ユーザーのハードウェア自体をサイトに登録するように読み取れます。
しかし一般に、MACアドレスなどのクライアント側のハードウェア情報をサーバー側で取得することはハードルが高いです。すると、サーバー側で取得が容易なアクセスログを使うのかと最初は思いました。
ところが実際は、クライアント側に残される Cookie を使っているようです。
デジタルでのデータに過ぎず、消去・コピー・書き換えが容易な Cookie の登録を「デバイスの登録」と表現するのは、日本語として違和感があります。
Cookie を使うことにすると今度は、最近のブラウザのセキュリティ強化などで、Cookie が自動消去される傾向が強くなってきています。自動消去が実行されると、登録したはずの情報が失われることになります。
最初から「認証に Cookie を使います」、「Cookie が見つかりません」などと明示されていれば、Cookie が消されたことがわかるので、ユーザー側では原因を特定しやすいです。
ウェブサイトなどを作るにあたり、的確で正確な日本語表現ができていないと、ユーザー側で勘違いや無用な混乱を招くように思います。
サイトに記載された手順に従ってデバイスの登録を行って、まったく同じデバイスでログインしようとしたにもかかわらず、「未登録のデバイス」と出ます。サービスの提供側がどこに問題があるのかを的確に認識することができないとなると、ユーザー側が企業の内情を察知して対処する必要が出てくるということになります。
Cookie について
数年前より、Cookie (サードパーティークッキー)には問題が多いので、GAFAM などのプラットフォーム企業では、Cookie 規制への対応が進んでいます。Cookie を活用していた広告やアフィリエイトに関連する企業は存続が危ぶまれる、といった流れです。
証券会社関連のニュースからすると、フィッシング詐欺対策などで Cookie を導入する動きもありそうです。サードパーティークッキーは今後使えなくなる方向なので、ファーストパーティークッキーの活用となります。Cookie は結局のところデジタルデータに過ぎず、技術的に効果が確実かは不透明です。技術的本命になるのかどうかについては見極める必要がありそうです。
少し視点を広げて、金融業界内での比較という観点で見ると、一部の銀行では以前より、二要素認証・ハードウェアトークンなどのセキュリティ対策が進んでいるところもあります。証券業界は、手数料の競争が激しいからか、レガシーなシステムを抱えているからなのか、トークンの発行などセキュリティ関連の投資・導入が遅れている印象があります。
多額の資産を扱う業界で、少しでも隙のある企業があると、フィッシング詐欺などで集中的に狙われるということかと思います。
何が起きているのか
上記の証券会社の事例では、IDやパスワードの漏洩は複数出ており、経路がわかっていないとのことです。あるいは、原因はいくつか推測はできているけれども、外部に公表することができないといった可能性もあります。
また、ログイン用のパスワードと取引用のパスワードの2つが流出しているとのことです。
単純なフィッシング詐欺では、2つのパスワードが同時に流出することは起こりにくいと考えられます。パスワードが2つ流出したとなると、まず、内部からの漏洩が疑われます。
加えて、同時期に複数の証券会社で類似の乗っ取りが起きているようです。
複数の証券会社で2つのパスワードが流出しているとなると、ブラウザ、パスワード管理ソフト・管理機能、デバイス、などに残されたパスワードや個人情報が抜き取られているのではないか、が疑われます。
他に、インストールしたアプリが他のアプリの情報を抜き取っているのではないか、証券会社のアプリがハッキングされたのではないか、タイピングしている文字列が筒抜けになっているのではないか、クリップボードの情報が送信されているのではないか、スマートフォンそのものがコピーされているのではないか、バックアップの機能が乗っ取られたのではないか、などが疑われます。
証券会社の規約上は損害の保証はされないよう改定されてきており、問題発生時の対処のあり方から、経営姿勢や技術レベルに疑問のある企業も明らかになりつつあります。
となると、いよいよこのサービスも信頼度が落ちてきたかなと判断したとき、現金はどこに移動するのか、株式を移転する際の手続きや費用はどうなっているのか/どうするのか、あまり使っていない証券会社に株式を分散して活用する場合はどうなるかなど、被害が及ぶ前に具体的な想定シナリオを作りすぐに行動できるようにしておく必要も出てきそうです。
対策案を挙げてみる
上記の状況を踏まえ、証券会社の観点での対策案を挙げてみることにします。
思いつきのような案も入れています。皆様も、奇抜なアイディアなども含め、考えてみてください。
・ ハードウェアトークンの導入を検討する。費用負担が生じるのであれば、ユーザーが任意で申し込めるようにする。
進んでいる銀行業界の対応から、何が正解なのかがわかっているのであれば、その対策を取り込むようにする。
また、被害発生時の損害額、発生確率、緊急でのシステム改修のコスト、証券会社の補償額・損害額などを見積もり、ハードウェアトークンの発行コストと比較するようにする。
ユーザー側で、運用額がある一定額を超えてくるといくらかの費用負担があったとしてもハードウェアトークンを申し込んだほうが割に合うといった判断ができるようにしておく。ユーザーの選択肢を設定しておくようにする。
・ サイト内の設定で、パソコンからだけのログイン等に制限できるようにする。
スマートフォンなどのアプリからのログインを排除できるようにする。ログインの経路を限定できれば、その分、リスクが低減できる。また、被害が生じた際に、設定から攻撃者の経路を絞り込んでいける設計にしておく。攻撃者の経路を調べようとなったとき、システムの複雑度を上げない設計にしておく。
スマートフォンは、持ち歩いているだけでフリー Wi-Fi などに簡単に接続できてしまう。紛失や盗み見されるリスクが高い。画面や文字が小さく URL を確認しにくい傾向がある。公共の場での電波の通信となるため、技術が進むにつれ第三者の傍受が成功する可能性がある。そこで、スマートフォンの使用やアプリのインストール自体をしないという選択ができるようにする。
また、スマートフォンが丸ごとコピーされているらしい、中国製などのスマートフォン自体が怪しい、スマートフォンの情報が抜かれているようだ、アプリに脆弱性が見つかった等となったとき、ユーザーが疑念を察知した段階で、疑念が生じた機能やデバイスについては使えないよう設定できるようにする。
・ ログインに指定回数失敗した場合は、本人にメール通知するよう設定できるようにする。
誰かに狙われていること、IDなどが流出していることが本人に事前にわかるようにする。
・ ログインに失敗すると次回のログインの受付に1 秒待つなど、ディレイを持たせられるようにする。
ブルートフォース攻撃に要する時間を引き延ばす・遅らせる。
異常なアクセスにユーザーが気づいてパスワードを変更するなど、対策をするまでの時間を稼ぐようにする。
・ 深夜の時間帯など、ログインしない時間帯を設定できるようにする。この時間帯はIDやパスワードが正しくても間違えたのと同じ表示となるようにする。同設定は本人にしかわからないようにする。これにより、ブルートフォース攻撃や彼らの攻撃履歴を取得する行為自体を無効化する。
・ あるいは、深夜の時間帯など時間を指定すると、この時間帯はメールの二段階認証となるよう設定できるようにする。寝ている時間帯など、ユーザーが使わない時間帯にパスワードが破られると、パスワードが破られた時点では本人が気づかず、数時間等、対応が遅れてしまう。そこで、使わない時間帯はログインが難しくなるよう設定できるようにする。また、認証用のメール通知が来ることで、異常があったときに本人が必ず気づくようにする。
・ ログイン時に、アクセスログなどの項目に変化があったときは、本人に、いつもと異なる環境でログインがあった旨のメールが届くようにする。
被害拡大の前に本人が気づくようにする。自分以外の者がログインに成功したことにいち早く気づくようにする。ログインのパスワードが破られても、売買や送金のパスワードが破られる前に、対策を取ることができるようにする。
・ Eメールの認証コードを導入する場合は、認証コードに代わる第2のパスワードをユーザーが設定できるようにする。
たとえば、”Eメールを送信いたしました。認証コードを入力し「送信」ボタンをクリックしてください” という画面を表示するが、あらかじめユーザーが設定した第2のパスワードではログインができるようにする。
設定をした本人は簡単にログインできるが、攻撃者にはメールが届かず、ログインをあきらめるよう促すようにする。
・ トップページからのログイン画面で、IDやパスワードを間違えたとき、間違えた旨の表示をするだけでは、攻撃者にIDやパスワードが間違っているといった情報を与えてしまう。そこで、IDやパスワードを間違えたときは、上記の 「Eメールを送信しました。…」の認証画面に遷移するように設計する。
これにより攻撃者に、IDとパスワードは正しいが正規の二段階認証が設定されているのか、IDやパスワードをたんに間違えただけなのか、IDやパスワードが変更されているのか、わからないようにする。
パスワードを破ろうと試みた際に情報を与えないようにし、また、存在しないIDを攻撃する可能性を高めることで、攻撃者の成功確率を下げる。
・ IDの入力画面とパスワードの入力画面をわける。IDを入力するとパスワードの入力画面に遷移するように、時間的に段階を持たせるようにする。加えて、パスワードの入力前に認証コードの画面を表示するなど、設定によって画面遷移が枝分かれするようにする。一度騙されただけ/一度間違えただけですべての情報が抜き取られてしまうといった危険なサイト設計を避ける。
また、単純なコピーでは、フィッシング詐欺用のメールや入力画面をつくりにくいようにする。
ユーザーが万一フィッシング詐欺用の偽の画面に誘導されても、画面の動きがいつもと違うなど、すべての情報が抜き取られる前に気づくようにする。気づく機会を増やす。途中で気づきやすい画面設計とする。
・ IDとパスワードが間違っていたとき、認証コードを送信するためのメールアドレスの入力欄の画面を出すようにする。メールアドレスから正しいユーザーかどうかが判断できるようにする。また、攻撃者の情報を取得するようにする。多数の攻撃者の入力履歴から、特に注意が必要な攻撃者の特徴や傾向、攻撃パターンを抽出しやすくする。
・ サイト内で、普段使う環境のIPアドレスを登録できるようにする。登録されたIPアドレスではない場合、ログイン時や売買時に多段階認証やメールアドレスの入力をさせるなど、確認画面をランダムに多く表示するようにする。これにより、機械的な処理では認証の突破が難しくなるようにする。
・ サイト内で、画面上の文字列の単純なコピーができない HTML の設定にしておく。また、SVG 画像など、画像の形状で文字やボタンを表現するようにする。海外からの攻撃があったとき、日本語の読み書きができない攻撃者は排除する画面設計とする。単純なコピー&ペーストと翻訳サイトの活用で、書かれた内容が読み取られてしまうことがないようにする。合言葉などで、日本語の入力を求める認証方法を設定できるようにする。
・ サイトの仕様として、ユーザーが偽のパスワード、偽のパスワードの範囲を設定できるようにする。そして、偽のパスワードでログインすると運営者側の偽のサイトに誘導されるようにする。あるいは、攻撃者がよく使うパスワードでログインを試みたときは、偽のサイトにログインするようにする。
偽のサイトは、攻撃者には本物かどうかがわかりにくい作りにする(攻撃者用の砂場を作る)。また、複数設定された偽サイトによっては、多額の資産を保有しているように見せかけるなど、強い誘因を設ける。
偽のサイト内で送金や売買操作をすると、攻撃者側の手口、送金先の口座情報などが記録に残り、早期の段階で経営側・運営側がリスクを検知できるようにする。また、運営側が、正規の顧客の売買・送金操作なのか、攻撃者の売買・送金操作なのか、容易に見分けがつくようにすることで、対策を立てやすくする。サイトの運営側が、砂場用の偽のユーザーを設定して、おとり用の偽のIDとパスワードをばらまくようにしてもよい。
備考:最近のサイバー攻撃等のまとめ
最近のサイバー攻撃などについてまとめておくことにします。
| 類型 | 現象・被害 | 傾向 | 攻撃対象の例 | 対策 |
| DDoS 攻撃 | ・ 複数のデバイスから大量のアクセスを行い、サービスを停止させる ・ サイトが重くなる ・ ログインできなくなる ・ サービスが使えなくなる |
・ 繁忙期に実行され、システムのダウンが狙われる ・ 戦争、年末年始など大きなできごとに併せて実行される |
・ 銀行 ・ 保険会社 ・ 交通インフラ |
・ 踏み台に使われうる機器、不要なサーバーは、使用を停止していく |
| ブルートフォース攻撃 | ・ パスワードなどを総当たりで入力され、不正アクセスされる | ・ VPN機器、クラウドサービスなどが狙われやすい ・ 弱いパスワードが狙われやすい ・ 機器やソフトウェアのデフォルトのパスワードが狙われる |
・ ウェブサービス ・ ネットワーク機器 |
・ 複雑なパスワードに変更する ・ デフォルトでの ID やパスワードは必ず変更する ・ システムのソフトウェアを最新版に更新する ・ 二要素認証を導入する |
| フィッシング詐欺 | ・ 偽サイトに誘導され、パスワード等が盗まれる |
・ 大手サービスのメール、SNS を装う ・ 宅配便業者、セール期間、警察・公共機関などを装う ・ 動画などで有名人を装う ・ ニュースに便乗する ・ 被害対応のメールを装う |
・ ネット証券 ・ 個人メールなど |
・ パスワードを変更する ・ メールのリンクはクリックを避ける ・ ブラウザのお気に入りだけからアクセスする ・ 二要素認証を導入する ・ URL を確認する ・ 初期の段階で SNS、ニュース報道が出てくることが多いので、被害拡大の前に対応をとる |
| ランサムウェア攻撃 | ・ サーバーやパソコンなどの機器が暗号化され、システムにアクセスできなくなる |
・ VPN機器、リモート機器、ネットワーク環境などの脆弱性が狙われやすい | ・ 動画サイト | ・ データのバックアップを取っておく ・ バックアップを取っていないデータが生じていないか、一定期間ごとに確認する ・ 使っているシステムやサービスで、脆弱性の問題が生じていないか、情報収集を行う ・ 万一感染した場合に備え、記録媒体やシステム、各機能を切り離せるようあらかじめ設計しておく ・ ネットワークに接続していない、システムや媒体のバックアップが残っているようにする |
| インジェクション攻撃 | ・ サイトなどで入力が可能な部分に悪意のあるコードを送り込むことで、システムの操作、乗っ取りなどを試みる |
・ HTTP、HTTPS などのウェブサイト、ファイル転送、データベースなどが狙われやすい ・ SQL、PHP、 JavaScript などのプログラミング言語が狙われやすい |
・ 金融業界 ・ 電力会社 |
・ システムの設計において、入力内容にはチェックを入れる ・ アクセスログなどでの制限を加える ・ ファイルへのアクセス制限を設定しておく |
| 情報流出 | ・ サイト内の顧客情報が流出する ・ 従業員・取引先情報が流出する |
・ 元従業員、内部の社員などが関わることがある ・ USB、パソコンの紛失などによることもある ・ ECサイトなどのIDやパスワードがリスト化されて流通している可能性がある |
・ 電力会社 ・ 学校、公共機関 |
・ パスワードを変更する ・ 情報管理、パスワード管理の運用を見直す ・ ネット上での情報の入力は、できるだけ避ける ・ 端末にパスワードや個人情報を残さないようにする |
・ タイミングよく偽装されると誰でも引っかかると思ったほうがよさそうです。
・ 上記の項目で、どこに隙や問題があって、どう狙われるのか、どういった対策が考えられるかといったあたりは、学校の情報などの科目で周知・議論されていてもよいように思います。デジタル機器は誰でも使うようになっていますが、独特な特徴や注意点があり、問題が生じたときの被害も大きくなりやすいからです。
・ 対策を検討する際も/自分でサイトを作る際も、こういった攻撃の手口や傾向を把握しておく必要があります。
まとめ
「未登録のデバイスです」の表示が出ないようにする手順をまとめました。
サイト側で設定するのではなく、ブラウザ側で設定するということでした。
後半は、かなり脱線しました。
他にも、不要なポップアップを消す方法等についてもまとめています。
関心のある方は参照してみてください。
関連リンク
・ 「翻訳しますか?」を非表示にする 【Microsoft Edge】
・ 「Tabキーで予測候補を選択」を非表示にする
・ 画面中央に「あ」、「A」が出るとき
・ ウィンドウが勝手に最小化しないようにする方法 【Windows】
・ 機械学習で株価予測 【Python】
