不正アクセス

O-MOTION 講演レポート(Security Days 2020)#001 〜あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策〜

最新のセキュリティをテーマにしたカンファレンスとして定評のある「Security Days 2020」にて、かっこ株式会社が講演を行いました。
「あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策」と題してお伝えした内容を、3記事にわたりご紹介します。
(スピーカー:かっこ株式会社O-MOTION事業部 川口祐介)

不正アクセスの被害事例

川口:不正アクセスの被害は2015年から2019年までの4年間で、11倍にも増加しています。
具体的な被害事例をいくつか抜粋すると、以下の通りです。

川口:2019年は、ご覧の通り「パスワードのリスト型攻撃」や「なりすましによる被害ログイン」といった手口が多くみられました。
こういった手口からは金銭的な実被害がでるケースもあれば、ユーザーの情報が漏洩してしまったというケースもあります。実際に被害ニュース見られた方も多いのではないでしょうか。

川口:こういった被害の発生を受け、昨年の8月頃、経産省・金融庁はリスト型攻撃に対する対策を講じるよう要請を出しました。この要請自体は決済事業者に対するものですが、今後は他の分野でも同様の要請が出される可能性があります。

本日はこういった要請・要望に対応できる手段をご紹介します。
そのために、まずは不正アクセスとはどのようなものなのかを、整理してご紹介します。

不正アクセスとはどのようなものなのか

川口:不正アクセスには大きく分けて2つの種類があります。

1.システムの脆弱性をついてアクセスする不正

川口:1つ目が、システムの脆弱性をついてアクセスする不正です。
事業者のデータベース、OS、アプリケーションなどのセキュリティ上の不備を意図的に利用して行います。
システムの裏口を狙う不正とも言え、従来から多く行われている手法です。

2.他人になりすましてアクセスする不正

川口:2つ目は、近年被害が増加している他人になりすましてアクセスする不正。
例えば不正会員登録のように、不正者が事業者の会員制Webサイトなどに対して、他人のIDや不正に作成したIDを利用してアクセスします。システムの入り口から堂々と入ってくる不正ともいえ、事業者のWebサイト――いわゆるセキュリティホールに、脆弱性がなくても被害が発生します。

次に「他人になりすましてアクセスする不正」にフォーカスを当て、どのような手口があるのか、対策はどのようにすればいいのかというところをお話させて頂きます。

なぜ不正アクセスが増加する3つの要因

川口:まず、なぜ不正アクセスが増加しているのでしょうか。
ずばり、増加の理由としては不正者の利益になるからに他なりません。

それに加えて、近年は大きく3つの要因が影響し、不正アクセスが増加しています。

川口:その3つの要因とは、

  1. 不正アクセス手段の入手が容易になっていること
  2. 不正アクセスによって得られるものの現金化が容易になっていること。
  3. 正アクセスの対策が未整備の状況が発生していること

の3つです。
こちらの3つ詳しくご紹介させて頂きます。

1.不正アクセス手段の入手が容易になっている

川口:昨今、いわゆるダークウェブというものの存在が認知され、誰でも不正アクセス手段の入手が用意になっています。
ダークウェブでは過去に流出したログインIDやパスワードのリスト、不正アクセスを行うためのプログラム、リスト型攻撃を行うためのプログラムなどが売買されています。

こういった情報やダークウェブそのものは、皆さんを含む一般的なエンドユーザーが使用しているGoogle Chrome、Safari、Firefoxといったブラウザでは閲覧できません。
そのため不正者は――あくまで一例ですが、Torブラウザやオニオンルーターというアクセス元を取得してアクセスできるブラウザを用いてアクセスします。
こういったダークウェブなどがある状況が、不正アクセスの入り口のハードルを下げ、不正アクセスを増加させる1つの要因です。

2.現金化が容易になっている

川口:現金化が容易になっているのも要因の1つです。
不正者が不正アクセスによって得られるもの――例えば、不正に商品を入手した場合は、昨今広がりをみせているCtoCマーケットで簡単に売買ができます。商品を入手できなくても、個人情報を入手できていればダークウェブで売買が可能です。
入り口のハードルだけでなく、不正アクセスの出口のハードルも下がっているのです。

3.不正アクセス対策の未整備

川口:そして3つ目、不正アクセス対策の未整備です。
冒頭でご紹介したシステムの脆弱性をついたアクセスに関しては、Firewall、IPS/IDS、WAFなど、様々な対策製品があります。事業者様としても手をつけやすく、対策をしやすくなっています。
一方で、他人になりすましたアクセスを防げるといった製品は多くありません。そのため事業者様も手を出せず、不正を許してしまっている状況です。

川口:加えて、エンドユーザー側も、会員制のサイトにアクセスするID・パスワードを使いまわしているケースが一定数あります。
こういったID・パスワードを使いまわしている状況では、1つのサイトで不正アクセスがされると他サイトにもアクセスできてしまいます。
そのため、他人になりすましてアクセスする不正に関しては、なかなか事業者様が対応できていない現状があります。これも不正アクセスが増加している要因です。


#001では

  • どういった不正アクセスが発生しているのか
  • 不正アクセスが増加する要因は何か

といったお話をお聞きしました。

#002では不正アクセスによって発生する被害についてお話しします。

ピックアップ記事

  1. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」
  2. クレジットカードにセキュリティコード(SC)がある理由を解説
  3. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  4. 【購入者向け】受取拒否や身に覚えのない荷物への対応について
  5. キャッシュレスとは?増加で起こる消費者・事業者の変化を解説

関連記事

  1. 不正アクセス

    生体認証だけでは不正アクセスは防げない?決して完璧ではない理由

    テクノロジーの発達により、本人確認の手段は多様化しています。比…

  2. データ&レポート

    不正被害額は21%増に。かっこ株式会社による調査データを公開

    通販サイトなどで不正検知を行うかっこ株式会社が約2万サイトを対象にした…

  3. 不正アクセス

    O-MOTION 講演レポート(Security Days 2020)#002 〜あなたの会社も狙わ…

    最新のセキュリティをテーマにしたカンファレンスとして定評のある「Sec…

  4. 不正アクセス

    O-MOTION 講演レポート(Security Days 2020)#003 〜あなたの会社も狙わ…

    最新のセキュリティをテーマにしたカンファレンスとして定評のある「Sec…

おすすめ記事

  1. 不正アクセスを検知する「不正検知システム」とは?
  2. 不正アクセスの手口とは?2019年の不正アクセス行為の発生状…
  3. 生体認証だけでは不正アクセスは防げない?決して完璧ではない理…
  4. テレワーク時代における効果的なセキュリティ対策について
  5. なりすましによる不正アクセスの被害内容と具体的な対策(不正検…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. 不正検知・ノウハウ

    PSPとは?決済サービスプロバイダーの導入メリットと契約手順
  2. ニュース・業界動向

    オリンピックに採用される顔認証システムのこれから
  3. セキュリティ用語

    増加するオンラインスキミングとは?その手口と被害をまとめました
  4. 不正検知・ノウハウ

    テレワーク時代における効果的なセキュリティ対策について
  5. 不正検知・ノウハウ

    企業が行うチケットの転売対策と購入者がやむなく転売する際の注意点について
PAGE TOP