証券会社の不正ログインによる被害
有名人たちの証券口座が不正アクセスを受け
勝手に株が売られたり、買われたりしたという話だった。
二段階認証を設定していても、楽天なら旧バージョンのアプリでは求められず
SBIではバックアップサイトからは求められなかったという話だった。
しかし、不正利用者が二段階認証を素通りできてもIDやパスワードは必要になる。
だから「フィッシングに引っかかったんでしょ?」そう思っていた。
しかし、調べていく中で出会ったのが、ゼロクリック攻撃という言葉だった。
ゼロクリック攻撃とは何か?
ユーザーの操作すらいらない攻撃
ゼロクリックとは、その名の通り「クリックしなくても成立する攻撃」。
一般的なフィッシング詐欺やマルウェアは、リンクを踏んだりファイルを開くなど、ユーザー側の操作が必要になる。
しかしゼロクリックは、通知を受け取るだけ、メッセージを受信するだけで感染してしまうケースがある。
特にスマホの場合、通知やメッセージ内の画像・動画をOSが自動処理してしまう仕組みがあることが盲点になる。
通知×ゼロクリックの流れはこうらしい
① 攻撃者が細工されたメッセージを送信(例:画像、MMS、HTMLメールなど)
② OSの通知処理(例:プレビューの生成)が自動的に実行される
└ 画像をデコードする / メッセージを整形する / リンクを抽出する など
③ この処理内に脆弱性があると「タップしなくてもコードが実行される」
④ 結果としてスパイウェアの導入、バックドアの開放、データ抽出などが発生
⑤ 通知は表示されたまま / タップしても痕跡はなし
通知を表示する為にOSは軽く解析をするので
その事前解析で内部処理が行われてしまうとか。
とはいえ、コード認証みたいなテキストでは心配なく
SNSで画像付きメッセージなどが原因になる可能性があるとのこと。
自分のスマホ環境を見直して気づいたこと
事件を機に、私自身のスマホ環境を振り返ってみた。
スマホにはChromeが入っていて、どうしてもログインやパスワードをそこに集約してしまう。
2段階認証もスマホのGoogle認証アプリ。
銀行やカード管理もアプリで行っていた。
……便利な反面、それが”一か所突破されたら全て抜かれる”構造になっていると気づく。
アカウントの切り分けという発想
スマホでしか使わないGoogleアカウントを、新たに1つ設けることにした。
既存のメインアドレス(Gmail)は、メール認証からゲームなど色々と結びついてしまっている。
それなら、スマホはスマホゲーム専用アドレスで運用し、重要なものはPC側の方がいい。
代償として新アドレスでスマホゲーム専用を作ると
今のストアランクであるプラチナは失われていしまう。
そしてGoogleMAPのタイムラインも途切れる。
ストアランクはまた2026年末までプラチナではあるが
新しいアドレスでブロンズから育て直さないといけない。
しかし、折角思い立ったので切り替えを決意した。
課金アカウントの罠
新しいアドレスを作成し、ストアでもそちらにログイン。
しかし、課金しようとするとメインアドレスから課金しようとする。
キャッシュを消したり、ストアにログインした新アドレスからインストールしてみても
なぜかメインアドレスから課金をしようとする。
なんてことだ…
そこで色々と調べてみると
どうやらブラウザからplay.google.comにログインし
そこで課金したいアプリを端末にインストール命令を出すと、解決すると書いてあった。
試しにブラウザからログインし、新アカウントでアプリをインストールする。
実際にスマホから消しておく必要はなく、入れっぱなしでOK
無事に新アカウントから課金されることになった。
これでブロンズランクを、また成長させていきたいと思います。
GooglePlayはお祭りでプラチナ以上だと応募者プレゼントとかあるから
ウマ娘とか学マスとかTシャツを応募してもらったことある。
また、この1年で育てて行きたいね。
新アカウントの罠
一応カード決済もできるようにはしているけれど
課金は基本的にギフトコードを買ってチャージしている。
先月3000円チャージして、まだメインアカウントにチャージ残っていたので
それを使い切って今月から本格的に課金しようと思っていた。
新たに6000円チャージしようとすると、コードが通らない…
あれ?どういうことだと調べると
AI判断的にマネーロンダリング的なアカウントではないかと
疑いがかかったのではないかという。
困ったことになったが、購入履歴はちゃんと残っているので
万が一の場合でもGoogleへ問い合わせすればいいだけ。
日数はかかりますが、これから問い合わせしてきます。
どうなったか、またその時にご報告したいと思います。
ポチップ
