フィッシング(Phishing)詐欺被害が急増している。昨今、偽のメールやSMS、メッセージングツール/アプリ等を用いてするフィッシングは巧妙化していて、ワンタイムパスワードや認証コードなどを盗む、短時間有効な認証情報を詐取し瞬時に不正利用する「リアルタイムフィッシング」も出現している。
上記手口により、フィッシング対策(例:警察庁)の一つである多要素認証をも突破される事例が発生しているという。インテックは、利用者が契約している電話番号を使って本人認証を行う、一般的なID/パスワード認証と組み合わせて使うことにより一層強固な多要素認証を実現できる「電話認証サービス」において今月、リアルタイムフィッシング防止機能の提供を開始した。同機能により、多要素認証を導入する企業のさらなるセキュリティ強化を図る。
フィッシングサイトでの認証行為へ利用者を巧みに誘導し、正規サイトと連動しつつ即座に認証情報を窃取して多要素認証を突破する、リアルタイムフィッシングでは、利用者に認証させる目的と、その裏で攻撃者がする認証の目的とが異なる。例えば、利用者には失効したアカウントの有効化のための認証と偽り、裏では正規サイト上での重要取引のための認証を行う。
そうした特徴に着目し、利用者からの電話認証の架電の際に、認証目的を確認する機能を追加することにより、利用者にフィッシングサイトであることを気づかせ、認証拒否することでリアルタイムフィッシングを防止することを可能にした。今回の新機能により、「電話認証サービス」は、多要素認証を導入している企業サイトのフィッシングおよびリアルタイムフィッシング対策を強化し、セキュリティをより一層向上させることに寄与するという。
同社は、電話認証サービスのさらなる機能アップデートにより、付加価値の向上および顧客システムのセキュリティ強化に向けた取り組みを推進していく構えだ。