セキュリティソフト開発企業「ESET」が運営する情報メディア「WeLiveSecurity」にて、二段階認証を突破する不正なアプリの存在が確認されたとの情報を発信しました。
出回る偽装アプリの状況
トルコの仮想通貨取引所「BtcTurk」に偽装しているアプリとのことで、Google Play上に配信されていたと確認されております。
およそ100名ほどのユーザー、が当アプリをインストールした可能性があるとのことです。
与える被害と日本国内への影響
こちらの偽装アプリからユーザーがログインIDやパスワードの入力を行うと、攻撃者に情報が送られてしまうというものです。
さらに、この偽装アプリはメールやSMSなどの他のアプリへ連動もさせることも可能で、それらのアプリに届くメッセージ内の情報も筒抜けになります。
これにより、ユーザーのログイン情報だけでなく、ログイン時にメールやSMSに届く「本人確認用コード(ワンタイムパスワード)」も漏れてしまい、二段階認証のセキュリティが効果をなくしてしまうというものです。
今後似た機能を備えた不正アプリが出てくる恐れも十分想定されることから、日本国内においても警戒するべきとの声も上がっております。
| 【参考URL】 ESET、仮想通貨交換所の2段階認証を回避するマルウェアを報告 |