O-MOTION 講演レポート（Security Days 2020）#001 〜あなたの会社も狙われる？最新の不正アクセス事情とWebサイトに求められる対策〜

最新のセキュリティをテーマにしたカンファレンスとして定評のある「Security Days 2020」にて、かっこ株式会社が講演を行いました。
「あなたの会社も狙われる？最新の不正アクセス事情とWebサイトに求められる対策」と題してお伝えした内容を、3記事にわたりご紹介します。
（スピーカー：かっこ株式会社O-MOTION事業部　川口祐介）

不正アクセスの被害事例

川口：不正アクセスの被害は2015年から2019年までの4年間で、11倍にも増加しています。
具体的な被害事例をいくつか抜粋すると、以下の通りです。

川口：2019年は、ご覧の通り「パスワードのリスト型攻撃」や「なりすましによる被害ログイン」といった手口が多くみられました。
こういった手口からは金銭的な実被害がでるケースもあれば、ユーザーの情報が漏洩してしまったというケースもあります。実際に被害ニュース見られた方も多いのではないでしょうか。

川口：こういった被害の発生を受け、昨年の8月頃、経産省・金融庁はリスト型攻撃に対する対策を講じるよう要請を出しました。この要請自体は決済事業者に対するものですが、今後は他の分野でも同様の要請が出される可能性があります。

本日はこういった要請・要望に対応できる手段をご紹介します。
そのために、まずは不正アクセスとはどのようなものなのかを、整理してご紹介します。

不正アクセスとはどのようなものなのか

川口：不正アクセスには大きく分けて2つの種類があります。

1．システムの脆弱性をついてアクセスする不正

川口：1つ目が、システムの脆弱性をついてアクセスする不正です。
事業者のデータベース、OS、アプリケーションなどのセキュリティ上の不備を意図的に利用して行います。
システムの裏口を狙う不正とも言え、従来から多く行われている手法です。

2．他人になりすましてアクセスする不正

川口：2つ目は、近年被害が増加している他人になりすましてアクセスする不正。
例えば不正会員登録のように、不正者が事業者の会員制Webサイトなどに対して、他人のIDや不正に作成したIDを利用してアクセスします。システムの入り口から堂々と入ってくる不正ともいえ、事業者のWebサイト――いわゆるセキュリティホールに、脆弱性がなくても被害が発生します。

次に「他人になりすましてアクセスする不正」にフォーカスを当て、どのような手口があるのか、対策はどのようにすればいいのかというところをお話させて頂きます。

なぜ不正アクセスが増加する3つの要因

川口：まず、なぜ不正アクセスが増加しているのでしょうか。
ずばり、増加の理由としては不正者の利益になるからに他なりません。

それに加えて、近年は大きく3つの要因が影響し、不正アクセスが増加しています。

川口：その3つの要因とは、

1. 不正アクセス手段の入手が容易になっていること
2. 不正アクセスによって得られるものの現金化が容易になっていること。
3. 正アクセスの対策が未整備の状況が発生していること

の3つです。
こちらの3つ詳しくご紹介させて頂きます。

1．不正アクセス手段の入手が容易になっている

川口：昨今、いわゆるダークウェブというものの存在が認知され、誰でも不正アクセス手段の入手が用意になっています。
ダークウェブでは過去に流出したログインIDやパスワードのリスト、不正アクセスを行うためのプログラム、リスト型攻撃を行うためのプログラムなどが売買されています。

こういった情報やダークウェブそのものは、皆さんを含む一般的なエンドユーザーが使用しているGoogle Chrome、Safari、Firefoxといったブラウザでは閲覧できません。
そのため不正者は――あくまで一例ですが、Torブラウザやオニオンルーターというアクセス元を取得してアクセスできるブラウザを用いてアクセスします。
こういったダークウェブなどがある状況が、不正アクセスの入り口のハードルを下げ、不正アクセスを増加させる1つの要因です。

2．現金化が容易になっている

川口：現金化が容易になっているのも要因の1つです。
不正者が不正アクセスによって得られるもの――例えば、不正に商品を入手した場合は、昨今広がりをみせているCtoCマーケットで簡単に売買ができます。商品を入手できなくても、個人情報を入手できていればダークウェブで売買が可能です。
入り口のハードルだけでなく、不正アクセスの出口のハードルも下がっているのです。

3．不正アクセス対策の未整備

川口：そして3つ目、不正アクセス対策の未整備です。
冒頭でご紹介したシステムの脆弱性をついたアクセスに関しては、Firewall、IPS/IDS、WAFなど、様々な対策製品があります。事業者様としても手をつけやすく、対策をしやすくなっています。
一方で、他人になりすましたアクセスを防げるといった製品は多くありません。そのため事業者様も手を出せず、不正を許してしまっている状況です。

川口：加えて、エンドユーザー側も、会員制のサイトにアクセスするID・パスワードを使いまわしているケースが一定数あります。
こういったID・パスワードを使いまわしている状況では、1つのサイトで不正アクセスがされると他サイトにもアクセスできてしまいます。
そのため、他人になりすましてアクセスする不正に関しては、なかなか事業者様が対応できていない現状があります。これも不正アクセスが増加している要因です。

#001では

• どういった不正アクセスが発生しているのか
• 不正アクセスが増加する要因は何か

といったお話をお聞きしました。

#002では不正アクセスによって発生する被害についてお話しします。

2020.04.01

O-MOTION 講演レポート（Security Days 2020）#002 〜あなたの会社も狙われる？最新の不正アクセス事情とWebサイトに求められる対策〜

最新のセキュリティをテーマにしたカンファレンスとして定評のある「Security Days 2020」での、かっこ株式会社の講演 「あなたの会社も狙われる？最新の不正アクセス事情とWebサイトに求められる対策」 をご紹介する連載記事の第2回です。 （スピ...

2020.04.01

O-MOTION 講演レポート（Security Days 2020）#003 〜あなたの会社も狙われる？最新の不正アクセス事情とWebサイトに求められる対策〜

最新のセキュリティをテーマにしたカンファレンスとして定評のある「Security Days 2020」での、かっこ株式会社の講演 「あなたの会社も狙われる？最新の不正アクセス事情とWebサイトに求められる対策」 をご紹介する連載記事の第3回です。 （スピ...