ワンタイムパスコード(OTP)は、従来の2要素認証(2FA)および多要素認証(MFA)の中核となる機能です。

お客様がアカウントにログイン、または取引を承認する際、ユーザー情報を確認するために、メール、SMS、または認証アプリでこれらを受信します。

現在、サイバー犯罪者はOTPボットを使用して、これらの保護を回避する方法を見つけています。

OTPボットとは何ですか?

OTPボットとは、お客様のユーザー情報を確認するために使用されるワンタイムパスコードを傍受または窃取する自動ソフトウェアプログラムです。その目的は、アカウント乗っ取り攻撃(ATO)と呼ばれる手法で、お客様のアカウントの制御権を奪うことです。

サイバー犯罪者は、アンダーグラウンドのマーケットプレイス(多くの場合Telegram経由)において、1回の攻撃あたりわずか10ドルという低価格でOTPボット攻撃を購入できます。この低コストで拡張性の高いアプローチにより、攻撃者は最小限の手間で、一度に多くの人々を標的にすることができます。

OTPボットの仕組み

OTPボットは、お客様がワンタイムパスワードを受信してから、それをアプリやウェブサイトに入力するまでの時間的な隙を突くように設計されています。この猶予時間は通常、1分未満です。

サイバー犯罪者は通常、次の3つの方法でコードを傍受します:

ソーシャルエンジニアリングによるOTPボットのアカウント乗っ取り

    攻撃者は、盗まれた、または漏洩した認証情報を使用して、正当なサイトでOTPの送信ステップを誘発します。その後、ボットがSMSや電話を通じてお客様に連絡し、例えば銀行の詐欺対策チームを装うなどして、緊急性を煽るように設計されたスクリプトを使用します。お客様がOTPを共有すると、ボットはそれをリアルタイムで攻撃者に転送し、お客様のアカウントへのアクセス権を与えてしまいます。攻撃者はログイン認証情報を変更し、お客様をアカウントから締め出すことができます。

    傍受によるOTPボットのアカウント乗っ取り

      盗まれた認証情報を使用してOTPを誘発させ、ボットはお客様に届く前にコードを傍受しようと試みます。一般的な方法には以下が含まれます:

      • SIMスワップ攻撃:攻撃者が携帯電話会社を騙して、お客様の電話番号を攻撃者が管理するSIMカードに移行させ、SMSコードが直接攻撃者に届くようにします。 
      • APIの悪用:ボットは、セキュリティの脆弱な認証APIを標的にして、生成されるOTPをキャプチャします。 
      • ブルートフォース(総当たり)攻撃:攻撃者は、短い数字のOTPの考えられるすべての組み合わせを試します。これは、お客様が使用しているウェブサイトやアプリが、繰り返しのリクエストに対して制限を設定していない場合に可能となります。

      リレー攻撃によるOTPボットのアカウント乗っ取り

        この変種は、盗まれた認証情報に依存しません。代わりに、攻撃者は言葉巧みにお客様のログイン詳細とOTPの両方を引き出そうとします。お客様は本物そっくりの偽のウェブサイトに誘導され、認証情報を入力します。ボットは即座にその認証情報を使用して本物のウェブサイトにログインし、お客様の携帯電話にOTPを送信させます。その後、偽のウェブサイトがコードを入力するよう求め、ボットはリアルタイムでそのコードを本物のウェブサイトに中継します。これにより、攻撃者はコードの有効期限が切れる前にログインを完了させることができます。

        他の変種と同様に、攻撃者はその後、認証情報を変更してお客様をアカウントから締め出すことができます。

        OTPボットがビジネスに与える影響

        OTPボットサービスを容易に入手できるようになったことで、企業への攻撃が増加する可能性があります。金融やeコマースが一般的な標的ですが、あらゆる業界が影響を受ける可能性があります。特に中小企業(SMB)は、より頻繁に標的にされる傾向があります(新しいウィンドウ)

        財務的損失は重大なものになる可能性がありますが、考慮すべきリスクはそれだけではありません。

        組織にとって財務的損失がどれほど大きな打撃となり得るとしても、ビジネスオーナーが懸念すべき損失はそれだけではありません。

        顧客の信頼の喪失

        データ漏洩(新しいウィンドウ)の後、顧客の信頼はしばしば低下します。Vercaraによる(新しいウィンドウ)2024年の調査では、消費者の58%が影響を受けたブランドを信頼できないとみなし、70%がセキュリティインシデント後にそのブランドでの買い物を止めると回答しています。

        規制コンプライアンスのリスク

        たとえ資金が盗まれなくても、データ保護要件を満たしていない場合、お客様のビジネスは罰金に直面する可能性があります。例えば、一般データ保護規則(GDPR)は、所在地や企業規模に関わらず、EU居住者の個人データを処理するすべての組織に適用されます。不遵守に対する制裁金は多額になる可能性があります。

        OTPボットからビジネスを守る方法

        ヒューマンエラーを防ぐことが最も困難であることを考慮すると、企業は可能な限り多くの技術的保護策を講じる必要があります。これらには以下が含まれます:

        レート制限とスロットリング

        設定された時間内に、単一のIPアドレス、電話番号、またはアカウントから要求できるワンタイムパスコード(OTP)リクエストの数を制限します。これにより、攻撃者が自動化されたリクエストでシステムを溢れさせるのを防ぎます。

        CAPTCHAと行動分析

        不審なアクティビティが検出された場合にCAPTCHA認証を適用し、迅速なフォーム送信や不自然なマウスの動きなど、人間以外によるパターンを検出するため行動分析を導入します。

        デバイスフィンガープリント

        デバイスの特性を追跡して、繰り返しの違反者を特定し、異なるアカウントにわたって複数のOTP要求を行っているデバイスをフラグ設定します。

        OTPを超える多要素認証

        OTPのみへの依存を減らすために、ハードウェアセキュリティキー、生体認証、またはプッシュ通知などのより強力な認証方法を追加します。

        APIセキュリティの強化

        傍受や改ざんを防ぐため、認証の要求、リクエストへの署名、入力の検証、安全な通信チャンネルの使用により、お客様のOTP APIを保護してください。

        監視と検出

        ボットの活動を示している可能性のある異常な動作を特定するために、使用パターンを監視します。リアルタイムのアラートを使用して、OTPリクエストの急増や予期しない地域からのアクセスを検出します。脅威を早期に検知するために、定期的にログを確認してください。

        OTPボットからお客様自身を保護する方法

        OTPボットは危険ですが、簡単な対策でお客様のアカウントを保護することができます。

        強力でユニークなパスワードまたはパスキーを使用する

        ビジネス向けパスワードマネージャーを使用して、アカウントごとにユニークな認証情報を生成し、保存してください。可能であれば、ワンタイムパスワード(OTP)を使用する必要をなくすパスキーをご利用ください。

        ハードウェアセキュリティキーを使用する

        YubiKeyなどの物理セキュリティキーは、お客様のデバイスへの物理的なアクセスを必要とするため、自動化された攻撃に対して強力な保護を提供します。

        フィッシングの試みに注意する

        検証コードを求める、心当たりのないメッセージに注意してください。OTPはウェブサイトやアプリに入力するものであり、誰とも共有してはいけません。

        お客様のアカウントアクティビティを監視する

        ログイン履歴やアカウント設定を定期的に確認し、異常なアクティビティがないかチェックしてください。

        SMSの代わりに認証アプリを使用する

        認証アプリによって生成されるコードであるタイムベースワンタイムパスワード(TOTP)は、SIMスワップ攻撃によって傍受される可能性のあるSMSベースのOTPよりも安全です。

        適切なパスワード管理は、お客様の最初の防御線です

        強力な技術的保護対策と適切な認証情報管理を組み合わせることは、攻撃者を排除することに大いに役立ちます。

        ビジネス向けパスワードマネージャーは、お客様が利用できる最もシンプルで効果的なツールの1つです。従業員が複数のアカウントで脆弱なパスワードを使い回すのを防ぎます。これこそ、まさにOTPボットが悪用するように設計されている脆弱性です。

        これをフィッシングに強い認証方法やセキュリティ意識の文化と組み合わせることで、お客様のビジネスが狙われにくくなります。