IT管理術

パスワード管理アプリ別フィッシング対策の比較まとめ

2021年2月5日

本記事では、パスワード管理アプリのフィッシング詐欺対策がどの程度有効なのか?

実際のスミッシング(SMSを使ったフィッシング詐欺)をもとに説明していきます。

比較したパスワード管理アプリ

  • 1Password
  • Bitwarden
  • トレンドマイクロ パスワードマネージャー
  • Mcafee True Key
  • Microsoft Authenticator

 

どうしてパスワード管理アプリはフィッシング対策になるの?

 

パスワードとサイトアドレスを関連づけて登録するから、ですね?
どうなの

 

???

 

順を追って説明してきますね。

まずは、フィッシング詐欺についておさらいしてみます。  

フィッシング詐欺の特徴

フィッシング詐欺とは、

本物そっくりに偽装したウェブサイトへ誘引し、パスワードを入力させる詐欺の手口です。

例えば、Twitter(ツイッター)のフィッシングサイトがあったとします。

 

例)Twitterのフィッシングサイト ※実在しないURLです。

“https://twittter.com”

 

次に、本物のTwitterサイトのURLです。

“https://twitter.com”

どこが違いがわかりますか?  

上記のURLは ""が1つ多いんですけど、人の目でパッと見て判断できると思います?

 

これがフィッシング詐欺の手口です。

 

不正をする人は、このような偽サイトをパパっと作れちゃうんです。

そして巧拙にサイトへ誘導、パスワードを入力させ、不正利用するんですね。  

フィッシングサイトでも偽装できないこと

そんな偽サイトでも一つできないことがあります。

それは、正規サイトのURLそのものを偽装することです。

 

URLというのは、インターネット上の住所に該当します。

普段の生活で例えると、

「詐欺やっている人が自分と同じ住所に暮らす」

ことと同じ意味になるからです。

フィッシング詐欺サイトの実例

先般、筆者に届いたリアルなフィッシングサイトを例に解説していきます。

 

フィッシングサイトのURLは ”aeokc.com” です。

そして、正規のイオン銀行のURLは "ib.aeonbank.co.jp" です。

URLの違いがお分かりいただけますよね?冷静になってみると、一目瞭然なんです。

ですが、危険をあおったり、急を促され冷静さを欠くと、人の目は本物だと「錯覚(さっかく)」してパスワード入力してしまうんです。

これがフィッシング詐欺の手口です。

 

近年、フィッシングの手口も巧妙化しているため、人の目で見分けるのはとても難しいでしょう。

パスワード管理アプリがフィッシング対策になる理由

本物そっくりな詐欺サイトであっても、正規サイトのURL(インターネット上の住所)までは偽装できません。

下図は「1Passwordアプリ」のパスワード登録例です。

パスワード管理アプリは、「ユーザー名」「パスワード」「ウェブサイト」三位一体で管理します。

そのため、ブラウザーに表示される「ウェブサイト」のURLが一致しないと、「ユーザー名」「パスワード」は検出されず、無反応・スルーします。

 

つまりは、人の目の錯覚を悪用するフィッシングサイトの特徴に対し、URLを機械的にチェックするパスワード管理アプリには通用しません。

これがパスワード管理アプリがフィッシング対策になる理由です。

 

パスワード管理アプリ別スミッシング検証

理屈はわかっていても、実際の挙動どうなるか心配ですよね?

そのため、いくつかのパスワード管理アプリでスミッシング対策できているかを検証してみました。

 

※より巧妙な手口、Amazonを語るスミッシングで検証しました。

検証はiPhoneで、次のような手順で行ってみました。

簡単な流れ

  • SMSのURLをタップ
  • ブラウザーにAmazonのフィッシングサイトが表示
  • パスワード管理アプリをフロートさせる
  • 登録済みAmazonログインパスワードが検出されてしまうか?

1Password:問題なし

1Passwordはフィッシングサイトに対し、登録しているAmazonのログインパスワードは検出しませんでした。

当然といえば、当然の結果ですね。

その後、意図的に保管庫からAmazonのパスワードを選択してみると、「URL違うけど、入力していいんですか?」と英語で警告表示されます。

絶対に[自動補完]ボタンを押してはいけません。

Bitwarden:問題なし

BitwardenはAmazonを語るフィッシングサイトに対し、登録済みパスワード情報を検出するような動きはありませんでした。

こちらをCHECK

パスワード管理アプリBitwardenはフィッシング対策になるのか?実証動画

続きを見る

トレンドマイクロ パスワードマネージャー:問題あり

パスワードマネージャーはフィッシングサイトに対し、登録済みパスワード情報を検出する動作となりました。

こちらをCHECK

トレンドマイクロ社のパスワード管理アプリ「パスワードマネージャー」は危険!フィッシングに要注意!

続きを見る

Mcafee True Key:問題なし

フィッシングサイトに対し、登録しているAmazonのログインパスワードは検出しませんでした。

Microsoft Authenticator:問題なし

フィッシングサイトに対し、登録しているAmazonのログインパスワードは検出しませんでした。

こちらをCHECK

Microsoft Authenticatorパスワード管理はフィッシング対策になるのか?実証動画

続きを見る

まとめ

パスワード管理アプリ - フィッシング対策の流れ

  • フィッシングのURLをクリックしてしまう
  • フィッシングサイトの情報入力画面が表示
  • パスワード管理アプリは登録しているURLがないため無視
  • 異変に気づきフィッシングサイトを閉じる

パスワード管理アプリはフィッシングサイトに有効だということ、お分かりいただけましたでしょうか。

ただし過信は禁物で、あくまでフィッシング対策であり、被害を完全に防げるものではありません。

結局は利用者次第ですが、詐欺の手口・傾向を知っているだけでも対策になりますよ。

  • この記事を書いた人

どうなの

ITとITをつなぐ【ICTライフサイクル管理】15年のプロ。 企業5社を渡り歩いた知見からの『ICTでお悩み解決、生活品質&生産性アップ』なノウハウを情報発信しています。

-IT管理術