セッションハイジャック詐欺：アクティブなログイン盗聴

主な手口

• • ブラウザからHTTPクッキーとセッショントークンを静かにログし、あなたの知識なしにリアルタイムで攻撃者が管理するサーバーに送信するマルウェアまたはブラウザ拡張機能を展開する。
• • 暗号化されていない公開WiFiネットワークで中間者（MITM）攻撃を実行し、WiresharkやEttercapなどのツールを使用して、デバイスとウェブサイトのサーバー間の暗号化されていないセッショントラフィックを傍受する。
• • 侵害されたウェブサイトまたは広告ネットワークに悪意のあるJavaScriptコードを注入し、訪問者のブラウザからセッションクッキーを収集して、攻撃者のインフラストラクチャに流出させる。
• • クロスサイトリクエストフォージェリ（CSRF）の脆弱性を悪用して、認証済みセッションを使用して無許可のアクション（メールアドレスの変更やパスワードリセットの開始など）を実行する。
• • DNSサーバーまたはISPインフラに対するネットワークレベルの攻撃を使用してあなたを偽のログインページにリダイレクトし、偽のサイトでログインしようとしたときにセッショントークンをキャプチャする。
• • データ漏洩、ダークウェブのマーケットプレイス、またはインサイダー脅威から流出したセッショントークンを購入または取得し、元のセッションが期限切れになる前（通常15分〜24時間）にすぐにアカウントにアクセスするために使用する。

見分け方

• 異なる地理的位置または見知らぬデバイスからアカウントへの同時ログイン通知に気付く。これは攻撃者が同時にあなたのセッションにアクセスしていることを示しています。
• あなたが書いていないメール送信、設定変更、または開始されたトランザクションなどの異常なアカウントアクティビティを見かけますが、パスワードは変更されず、ロックアウトされていません。
• アカウントを積極的に使用している最中に予期せずログアウトされたり、セッションが奇妙なキャッシュデータで一貫性のない状態に見えることに気付く。
• 過度なデータアクセスまたはクッキー管理権限を要求する、特にあなたがインストールしていない疑わしいブラウザ拡張機能またはツールバーを検出する。
• あなたがログインを開始していないが、2FAコードがアカウントアクセス試行に使用されたという証拠を見つけ、パスワードは変更されていません。これは認証情報盗難ではなくセッション制御を示唆しています。
• あなたがログインを開始していないにもかかわらず、ウェブサイトやアプリから「新しいデバイス」ログイン、「異常な場所」アクセス試行、またはセッションに関するセキュリティ警告についてのアラートを受け取る。

身を守る方法

• 常にHTTPSのみのウェブサイトを使用し（パッドロックアイコンとURLのhttps://を確認）、特に公開WiFiネットワークでは、暗号化されていない接続で機密情報を入力しないでください。
• 自動WiFi接続を無効にし、公開WiFiで銀行取引、メール、または機密アカウントアクセスを使用しないでください。公開ネットワークでアカウントにアクセスする必要がある場合は、VPNサービスを使用してください。
• アカウント設定（Google、Microsoft、Apple、Facebook、ほとんどの銀行で利用可能）でアクティブなセッションを定期的に確認し、認識できないセッションを直ちに終了してください。
• ブラウザのクッキー、キャッシュ、閲覧履歴を毎週クリアし、機密サイトではプライベート/シークレットブラウジングモードを使用してセッショントークンの永続的な保存を防ぐことを検討してください。
• 評判の良いアンチウイルスおよびアンチマルウェアソフトウェア（MalwarebytesやWindows Defenderなど）をインストールし、最新の状態に保ってセッションハイジャック用マルウェアを検出・削除してください。
• すべての重要なアカウントで2要素認証を有効にし、ログイン通知を密に監視してください。見知らぬログイン試行を確認した場合は、直ちにパスワードを変更し、アカウントアクティビティを確認してください。

実例

よくある質問

通報窓口 — 日本

お住まいの地域でこの詐欺を通報できる公式窓口。