不正アクセス

O-motion Securitydaysレポート#001 〜あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策〜

2020年2月5日、かっこ株式会社が「O-motion Securitydays」を実施。
「あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策」と題し、最新の不正アクセスはどのように行われるのか、どのようにすれば防げるのかを発信しました。

当記事ではかっこ株式会社O-motion事業部に所属する川口の当日セッション内容を、3記事にわたりご紹介します。

不正アクセスの被害事例

川口:不正アクセスの被害は2015年から2019年までの4年間で、11倍にも増加しています。
具体的な被害事例をいくつか抜粋すると、以下の通りです。

川口:2019年は、ご覧の通り「パスワードのリスト型攻撃」や「なりすましによる被害ログイン」といった手口が多くみられました。
こういった手口からは金銭的な実被害がでるケースもあれば、ユーザーの情報が漏洩してしまったというケースもあります。実際に被害ニュース見られた方も多いのではないでしょうか。

川口:こういった被害の発生を受け、昨年の8月頃、経産省・金融庁はリスト型攻撃に対する対策を講じるよう要請を出しました。この要請自体は決済事業者に対するものですが、今後は他の分野でも同様の要請が出される可能性があります。

本日はこういった要請・要望に対応できる手段をご紹介します。
そのために、まずは不正アクセスとはどのようなものなのかを、整理してご紹介します。

不正アクセスとはどのようなものなのか

川口:不正アクセスには大きく分けて2つの種類があります。

1.システムの脆弱性をついてアクセスする不正

川口:1つ目が、システムの脆弱性をついてアクセスする不正です。
事業者のデータベース、OS、アプリケーションなどのセキュリティ上の不備を意図的に利用して行います。
システムの裏口を狙う不正とも言え、従来から多く行われている手法です。

2.他人になりすましてアクセスする不正

川口:2つ目は、近年被害が増加している他人になりすましてアクセスする不正。
例えば不正会員登録のように、不正者が事業者の会員制Webサイトなどに対して、他人のIDや不正に作成したIDを利用してアクセスします。システムの入り口から堂々と入ってくる不正ともいえ、事業者のWebサイト――いわゆるセキュリティホールに、脆弱性がなくても被害が発生します。

次に「他人になりすましてアクセスする不正」にフォーカスを当て、どのような手口があるのか、対策はどのようにすればいいのかというところをお話させて頂きます。

なぜ不正アクセスが増加する3つの要因

川口:まず、なぜ不正アクセスが増加しているのでしょうか。
ずばり、増加の理由としては不正者の利益になるからに他なりません。

それに加えて、近年は大きく3つの要因が影響し、不正アクセスが増加しています。

川口:その3つの要因とは、

  1. 不正アクセス手段の入手が容易になっていること
  2. 不正アクセスによって得られるものの現金化が容易になっていること。
  3. 正アクセスの対策が未整備の状況が発生していること

の3つです。
こちらの3つ詳しくご紹介させて頂きます。

1.不正アクセス手段の入手が容易になっている

川口:昨今、いわゆるダークウェブというものの存在が認知され、誰でも不正アクセス手段の入手が用意になっています。
ダークウェブでは過去に流出したログインIDやパスワードのリスト、不正アクセスを行うためのプログラム、リスト型攻撃を行うためのプログラムなどが売買されています。

こういった情報やダークウェブそのものは、皆さんを含む一般的なエンドユーザーが使用しているGoogle Chrome、Safari、Firefoxといったブラウザでは閲覧できません。
そのため不正者は――あくまで一例ですが、Torブラウザやオニオンルーターというアクセス元を取得してアクセスできるブラウザを用いてアクセスします。
こういったダークウェブなどがある状況が、不正アクセスの入り口のハードルを下げ、不正アクセスを増加させる1つの要因です。

2.現金化が容易になっている

川口:現金化が容易になっているのも要因の1つです。
不正者が不正アクセスによって得られるもの――例えば、不正に商品を入手した場合は、昨今広がりをみせているCtoCマーケットで簡単に売買ができます。商品を入手できなくても、個人情報を入手できていればダークウェブで売買が可能です。
入り口のハードルだけでなく、不正アクセスの出口のハードルも下がっているのです。

3.不正アクセス対策の未整備

川口:そして3つ目、不正アクセス対策の未整備です。
冒頭でご紹介したシステムの脆弱性をついたアクセスに関しては、Firewall、IPS/IDS、WAFなど、様々な対策製品があります。事業者様としても手をつけやすく、対策をしやすくなっています。
一方で、他人になりすましたアクセスを防げるといった製品は多くありません。そのため事業者様も手を出せず、不正を許してしまっている状況です。

川口:加えて、エンドユーザー側も、会員制のサイトにアクセスするID・パスワードを使いまわしているケースが一定数あります。
こういったID・パスワードを使いまわしている状況では、1つのサイトで不正アクセスがされると他サイトにもアクセスできてしまいます。
そのため、他人になりすましてアクセスする不正に関しては、なかなか事業者様が対応できていない現状があります。これも不正アクセスが増加している要因です。


#001では

  • どういった不正アクセスが発生しているのか
  • 不正アクセスが増加する要因は何か

といったお話をお聞きしました。

#002では不正アクセスによって発生する被害についてお話しします。

ピックアップ記事

  1. 後払い決済の手順や支払い方法は?購入者にとってのメリット・デメリットや未払い時の…
  2. キャッシュレスとは?何が変わるのかを消費者、事業者の視点から解説
  3. EC事業者が対策したい「カゴ落ち」とは
  4. セキュリティコード(SC)がクレジットカードに設定されている理由と、販売店にとっ…
  5. 不正検知システムとは?「クレジットカード等の決済前に危険性判断する」仕組みや導入…

関連記事

  1. データ&レポート

    番号盗用だけで年間200億円超えも。クレジットカード不正利用被害の2019年4半期(10月〜12月)…

    一般社団法人日本クレジット協会が「クレジットカード不正利用被害実態調査…

  2. 不正アクセス

    なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について 

    窃取した情報を使用し、第三者が本人になりかわる「なりすまし」。…

  3. データ&レポート

    不正被害額は21%増に。かっこ株式会社による調査データを公開

    通販サイトなどで不正検知を行うかっこ株式会社が約2万サイトを対象にした…

おすすめ記事

  1. 生体認証だけでは不正アクセスは防げない?決して完璧ではない理…
  2. テレワーク時代における効果的なセキュリティ対策について
  3. なりすましによる不正アクセスの被害内容と具体的な対策(不正検…
  4. QRコード決済からのカード情報の不正流出と不正利用防止対策に…
  5. 【購入者向け】受取拒否や身に覚えのない荷物への対応について

ECサイト不正利用。巧妙化する手口


お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. 不正検知・ノウハウ

    テレワーク時代における効果的なセキュリティ対策について
  2. チャージバック

    ECショップ運営にはチャージバック対策が必要。
  3. ニュース・業界動向

    スパム攻撃対策「リキャプチャ(reCAPTCHA)」とは。メリット・デメリットを…
  4. 不正検知・ノウハウ

    ネット通販(EC)における不正注文の原因や手口|事業者ができる不正注文対策・不正…
  5. 不正検知・ノウハウ

    ECサイトで不正注文が起こる原因と加盟店ができる不正対策
PAGE TOP