2025.02.20OTPボットとは?

  • #アカウント不正
  • #不正対策ノウハウ
  • Facebook
  • はてなブックマーク

本記事は、Sift Science, Inc.のBlog記事「What is an OTP bot?」を日本語に翻訳したものです。

本記事の著作権は、Sift Science, Inc.および同社の国内パートナーである株式会社スクデットに帰属します。

Sift Trust and Safety Team 著/ 2024年9月26日

あなたのビジネスは、サイバー犯罪者の巧妙な攻撃から身を守るために、ワンタイムパスワード (OTP) などの2要素認証 (2FA) に依存していませんか?OTPや2FAは、アカウント乗っ取り (ATO) を阻止する特効薬として評価されてきました。しかし、現在では、52%の企業がAIを利用した攻撃を日常的また週単位で受けており、OTPボットがこれらのセキュリティ対策の脆弱性を突いて悪用しています。企業と顧客のアカウントを保護するためには、進化する手口に対抗する準備が不可欠です。不正犯がどのようにOTPボットを使用してアカウントを攻撃するのか、そして2FAを強化し、OTPボットを阻止する最善の方法を見つけてください。

 2要素認証(2FA)とは?

2要素認証(2FA) は、ユーザーがカウントにログインする際に、2つの異なる認証要素を提示することで本人確認を行うセキュリティ手法です。これは、多要素認証(MFA)の一種であり、次のような形式が含まれます。 

  • 指紋認証
  • SMSコード
  • メールコード
  • ソフトウェアトークン
  • ハードウェアトークン
  • 認証アプリ
  • 電話認証

2FAでは複数の認証形式が求められるため、ハッカーがアカウントに侵入することが非常に困難になります。仮にパスワードが漏洩したとしても、追加の認証が必要になります。実際、世界の29%のユーザーが少なくとも一度はアカウント乗っ取り攻撃を経験している中で、2FAの導入は推奨されています。しかし、2FAにも弱点があります。それがOTP ボットです。 

OTPとは?

「ワンタイムパスワード(OTP) 」は、1回限り有効な認証コードであり、ユーザーの本人認証を行うために使用されます。このコードは、SMS、メール、またはスマートフォンやその他のデバイスの認証アプリを通じて送信され、1回使用すると無効となり、再利用することはできません。OTP は、パスワード漏洩や使いまわしによるリスクを排除し、アカウントのセキュリティを強化するために設計されています。

OTP ボットとは?

OTPボットは、認証プロセスで使用されるワンタイムパスワード(OTP)を傍受、盗み取る、または回避するために設計された悪意のある自動プログラムです。これらのボットは、ソーシャルエンジニアリング攻撃を利用してユーザーを騙し、OTPを提供させることで、ハッカーがアカウントに侵入できるようにします。OTPボットがどのようにして2要素認証を突破するのか詳しく見ていきましょう。 

OTPボット攻撃に対する2FAの脆弱性

2FAは、アカウント乗っ取りを防ぐために最も広く使用されているセキュリティ対策のひとつであり、それには正当な理由があります。2種類の異なる認証要素を要求することで、サイバー攻撃のリスクを効果的に軽減できます。

ただし、2FAは高度な攻撃に対して、完全に無敵というわけではありません。2FAの普及が進むにつれ、犯罪者やハッカーは、その防御を突破する新たな方法を模索するようになりました。その結果、彼らは、2FAの重大な欠点を暴き出しました。このデジタルセキュリティ対策が、「単一障害点(SPOF)」に依存しているということです。攻撃者がOTPを入手できれば、そのコードを使用してアカウントを乗っ取ることが可能になります。

OTPボットの種類

OTPボットにはさまざまな種類があり、それぞれ異なる認証システムの脆弱性を狙うように設計されています。これらの種類とその機能を詳しく見て、効果的な対策を構じる方法を理解しましょう。 

  • SMS傍受ボットこれらのボットは、モバイルネットワークの弱点を悪用して、OTPが記載されたSMSメッセージを盗み取ります。問題は、モバイルネットワークが依然としてSignaling System No.7(SS7)という古いプロトコルに依存していることであり、長年知られている重大な脆弱性があるにもかかわらず、修正されていません。これを悪用し、暗号化が不十分なSMS通信を傍受し、不正犯にリアルタイムで送信します。 
  • フィッシングボット:フィッシング攻撃を自動化するマルウェア の一種です。大量のフィッシングメールやメッセージを送信し、受信者を騙してパスワード、クレジットカード番号、個人データなどの機密情報を入力させます。
  • 音声通話ボット:これらのボットは、自動音声通話を使用して正規のサービスを装い、無防備なユーザーからOTPを収集します。AIの進化により、自動化されたフィッシング音声通話はますます巧妙になり、検知が困難になっています。通常、こうした通話では、銀行やサービスプロバイダーを装い、「セキュリティ目的でOTPが必要です」と偽ってユーザーを騙します。 
  • ソーシャルエンジニアリングボット:自動化されたシステムは、心理的な操作生成 AI を使用し、ユーザーOTPを漏らさせる手口も使います。特に悪質な手法として、多要素認証爆撃(MFA Bombing)やMFAスパム(MFA Spamming)があります。これは、2FAを悪用してユーザーに短時間で大量の認証リクエストを送りつけ、最終的に「問題を解決するために、別の手段で認証するように」と騙し、ユーザー自身にOTPをハッカーに直接送信させるものです。 
  • SIMスワップボット:これらのボットは、SIMカードの転送リクエストを自動化し、被害者の電話番号を乗っ取ることで、OTPを傍受します。この攻撃では、被害者の通信キャリアを騙して、ユーザーの電話番号をサイバー犯罪者が所有するSIMカードへ移行させます。これにより、すべての通話やSMSメッセージが、ハッカーのもとへ転送され、OTPを直接受け取れるようになります。

サイバー犯罪者がOTPボットを使ってアカウントを侵害する方法

OTPを取得することは、アカウント乗っ取り攻撃の最初のステップにすぎません。サイバー犯罪者や不正犯は、OTPボットと高度な手法を組み合わせて、アカウントを侵害し、乗っ取ります。以下は、最も一般的な方法です。

  • ターゲット情報の収集

サイバー犯罪者は、攻撃を開始するにあたり、まず個人情報を収集することに重点を置きます。その手段には、データ漏洩、ソーシャルエンジニアリング、ダークウェブマーケットからの購入などがあります。特に、被害者のメールアカウントへのアクセスはハッカーにとって最優先事項です。メールを乗っ取ることで、偽のメッセージを作成したり、OTPを傍受したり、アカウントへの不正ログインを試みることが可能になります。 

  • 認証情報の取得

攻撃者は、フィッシング、キーロギング、パスワードの使いまわしの悪用といった方法でログイン認証情報を入手します。最大65% の人が複数のアカウントでパスワードを使いまわししているため、ダーク ウェブで比較的安価に販売されている総合的なパスワードリスト入手することで、簡単にアクセスできる場合があります。 

  • OTP ボットの展開

ハッカーが必要な認証情報を手に入れたとしても、2FAという最後の障壁に直面します。この対策を突破するために、ハッカーはAIを使用して、ターゲットの認証方法に応じたOTPボットを設定します。たとえば、高度な言語モデル(LLM)を使用して説得力のあるフィッシングメッセージやディープフェイクの音声通話を生成したり、特定の認証方法に特化した自動化ボットを構成することで、攻撃の成功率を高めます。これにより、OTPベースの2FAを回避できる、より洗練されたスケーラブルな攻撃が可能になります。

  • ログインプロセスの開始

ボットの準備が完了し、認証情報を取得した時点で、攻撃者はログインを開始します。盗んだ認証情報を使用して、ターゲットのプラットフォーム上でOTPのリクエストをトリガーします。

  • OTPの傍受

ボットは特定の方法 (SMS傍受、フィッシング、音声通話のなりすましなど) を使用してOTPを傍受します。 

  • OTPの自動送信

ボットは、有効期限が切れる前に傍受したOTPをリアルタイムで即座にターゲットのプラットフォームに送信し、ハッカーが認証プロセスを完了できるようにします。

  • アカウント乗っ取り

認証に成功すると、攻撃者は完全にアカウントへアクセスが可能になります。通常、攻撃者は不正取引を実行する前に、連絡先情報を変更し、パスワードを変更することで、正規のアカウント所有者を締め出します。

SiftのATO対策

どんなセキュリティ対策も一般的になればなるほど、サイバー犯罪者は必ずそれを回避する方法を見つけ出します。だからこそ、動的でリアルタイムに新たな脅威に対応できるセキュリティインフラを構築することが非常に重要です。

2FAは、以前の対策と比べて優れたソリューションでしたが、完璧ではありません。ダークウェブで認証情報が容易に入手できる現状では、この「万能薬」は、単一障害点(SPOF)を抱えているため、比較的容易に回避される可能性があります。こうした進化する脅威に先手を打つために、Siftのアカウント乗っ取り対策ソリューションのようなAIを活用したセキュリティ対策を採用すべき時期が来ています。

Siftの最先端のAIプラットフォームは、ATO(アカウント乗っ取り)に対抗し、リスク管理を収益化の手段へ変えることができます。これから説明する強力な機能を活用することで次世代のデジタルセキュリティを実現しましょう。

  • AIを活用したリスク評価:高度なAI/MLアルゴリズムを使用して、不正をリアルタイムで検出・防止
  • ユーザー行動分析:アカウント乗っ取りの兆候を示す疑わしい行動パターンを識別
  • 適応型認証リスクレベルに基づいて動的なセキュリティ対策を実装
  • クロスプラットフォーム保護: Web、モバイル、APIインターフェースを含む、複数のチャネルを保護
  • 不正ネットワークのインサイト:グローバルネットワークからのデータを活用して、新たな脅威を先取りして対策
  • リアルタイムレポート:潜在的な攻撃に迅速に対応するための実用的なインサイトを提供
  • スムーズな統合:既存のシステムにスムーズに組み込み、顧客体験を損なわない
  • 継続的な学習:新しいアカウント乗っ取り手口に対応し、常に進化

これらの機能が実際のビジネスでどのような効果をもたらすか、グローバルな不動産テック企業「Rently」の事例を見てみましょう。 

Rentlyは、アカウント乗っ取り攻撃という大きな問題に直面しており、不正行為がプラットフォームの信頼性を脅かしていました。Siftのアカウント乗っ取りソリューションを導入することで、Rentlyは不正防止を自動化し、ATO発生率を65%削減し、毎日6時間かかっていた手動レビューを削減しました。

無料デモで、SiftのAIを活用した不正検知と、どのようにあなたのビジネスをATO攻撃から保護するのか、その実力を体験してください。

「データで見るアカウント乗っ取りの脅威」:Sift不正トレンドレポート 2024 Q3

関連記事

不正対策Blog 一覧