この種のハイテク盗聴の被害に遭わないためには、まず、中間者攻撃とは何かを正確に把握することが重要です。
コンピュータを使ってデータを送信したり、オンラインで誰かと話したりする際には、ある程度のセキュリティとプライバシーを採用しているはずです。
しかし、第三者があなたの知らないところで盗聴したり、信頼できるビジネスパートナーを装って有害な情報を盗んだりしたらどうでしょう。こうして、個人情報は危険な人物の手に渡ってしまうのです。
これが悪名高い
中間者攻撃とは何ですか?
中間者攻撃とは、ハッカーが被害者やデバイスとの通信に侵入して機密情報を盗み出し、さまざまな違法行為を行うことです」と、Scamicide社の創設者であるSteve J. J. Weisman氏は述べています:
「中間者攻撃は、被害者と正規のアプリやウェブページの間でも発生します。被害者が通常のアプリやウェブページを操作しているつもりでも、実際にはなりすましのアプリやウェブページを操作していることになり、被害者の機密情報が不正行為者に漏洩してしまいます。"
1980年代に誕生した中間者攻撃は、最も古いサイバー攻撃の形態の1つですが、今ではより一般的になっているとワイズマン氏は説明します。ワイズマン氏は、中間者攻撃が発生する可能性のあるシナリオは数多くあると説明します:
- 効果的に暗号化されていないWiFiルーターを危険にさらす:このシナリオは、人々が公共のWiFiを使用しているときに主に見られます。「家庭用ルーターも脆弱ですが、公衆WiFiネットワークをハッキングする方がはるかに一般的です」とワイズマン氏。ワイズマン氏は、"目的は、オンライン銀行口座のような機密情報を無防備な人々から盗むことです "と述べています。
- 銀行や金融アドバイザーなどの電子メールアカウントの侵害:「ハッカーがこれらの電子メールシステムを侵害すると、銀行やそのような会社を装って被害者に電子メールを送り、緊急事態の名目でユーザー名やパスワードなどの個人情報を要求します」とワイズマン氏。緊急事態という名目で、ユーザー名やパスワードなどの個人情報を要求してきます。被害者は簡単に騙されて、この情報を教えてしまうのです"
- フィッシング・メールの送信:窃盗犯は、被害者と関係のある企業を装い、個人情報を要求することもあります。「フィッシング・メールは、被害者がよく訪れる正規の企業のウェブ・ページとそっくりの偽のウェブ・ページに被害者を誘導するケースがいくつかあります」とワイズマン氏。とワイズマン氏。
- 正規のウェブページに悪意のあるコードを埋め込む:攻撃者はまた、正規のウェブページに悪意のあるコードを埋め込みます。「被害者が正規のウェブページを読み込むと、悪意のあるコードはまず、ユーザーがアカウントのログイン情報やクレジットカード情報を入力するまでそのままにし、その後、悪意のあるコードはその情報をコピーして攻撃者のサーバーに送信します。サイバーセキュリティの専門家であるニコラス・マクブライドはこう述べています。
中間者攻撃の有名な事例にはどのようなものがありますか?
この中間者攻撃の核心は、VisualDiscoveryがID番号、金融取引情報、医療情報、ログインとパスワードなどを含む、ユーザーのすべての個人データにアクセスできたことです。このアクセスはすべて、ユーザーの認識や承認なしに行われました。FTCはこの事件を詐欺および不正競争と認定しました。2019年、Lenovoはこの件で8300万ドルの集団訴訟の罰金を支払うことに同意しました。
中間者攻撃を避けるには?
- 公衆WiFiを避ける:ワイズマン氏は、信頼できるVPNクライアントをインストールし、信頼できるVPNサーバーに接続していない限り、金融取引に公衆WiFiを使用しないことを推奨しています。VPN接続では、通信が暗号化され、情報が盗まれることはありません。
常に注意:パスワードの更新やユーザー名などの個人情報の入力を求めるメールやテキストメッセージには常に注意してください。これらの手口は、個人情報を盗むために使用される可能性があります。
電子メールを受信した正確な相手がわからない場合は、電話逆引きや電子メール逆引きなどのツールを使用することができます。電話逆引きでは、不明な送信者の身元について詳しく調べることができます。Eメール逆引きでは、誰があなたにメッセージを送信したかを特定することができます。
一般的に、何らかの分野で本当に問題があると感じたら、社内の知人や信頼できる人に話を聞くことができます。あるいは、銀行や学校、その他の組織に行って、直接助けを求めることもできます。いずれにせよ、重要な口座情報は、知らない「技術者」に決して開示してはいけません。
メールのリンクをクリックしない:あるアカウントにログインする必要があるというメールが送られてきても、メール内のリンクをクリックしないでください。代わりに、いつも使っている方法で自分でアクセスし、アラートメッセージが表示されないか確認してください。アカウント設定にアラートメッセージが表示されない場合は、メールに記載されている電話番号ではなく、サイトページに記載されている連絡先にカスタマー・サービスに電話してください。
信頼できるセキュリティソフトウェアをインストールする:Windowsオペレーティングシステムを使用している場合は、 オープンソースのウイルス対策ソフトウェアをインストールします。
警告メッセージを真摯に受け止めてください: HTTPS で始まるページにアクセスしている場合、ブラウザに警告メッセージが表示されることがあります。たとえば、サイト証明書のドメイン名が、アクセスしようとしているサイトのドメイン名と一致しない場合などです。この種の警告メッセージを無視しないでください。警告のアドバイスに従って、速やかにページを閉じてください。ドメイン名が間違って入力されていないことを確認し、それでも問題が解決しない場合は、すぐにサイトの所有者に連絡してください。
広告ブロックソフトの使用:ポップアップ広告は個人情報を盗むために使用される可能性があるため、広告ブロックタイプのソフトウェアを使用することもできます。中間者攻撃は、被害者に何も気づかれないように設計されているため、個人ユーザーが防ぐのは非常に困難です。 .という優れたオープンソースの広告ブロックソフトがあり、FirefoxとChromiumの両方に対応し、Safariにも対応しています。
用心深く
特定のリンクをすぐにクリックする必要はないこと、見知らぬ人のアドバイスに従う必要はないことを常に覚えておいてください。インターネットはいつでもそこにあります。コンピュータから離れ、これらの「極めて緊急性の高い」ページが本物かどうか、これらの人々の身元を確認することができます。
中間者攻撃は誰でも経験する可能性がありますが、中間者攻撃がどのようなものかを理解し、どのように発生するかを理解し、効果的な予防策を講じることで、中間者攻撃の犠牲者にならないように身を守ることができます。
