不正アクセス

O-MOTION 講演レポート(Security Days 2020)#001 〜あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策〜

最新のセキュリティをテーマにしたカンファレンスとして定評のある「Security Days 2020」にて、かっこ株式会社が講演を行いました。
「あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策」と題してお伝えした内容を、3記事にわたりご紹介します。
(スピーカー:かっこ株式会社O-MOTION事業部 川口祐介)

不正アクセスの被害事例

川口:不正アクセスの被害は2015年から2019年までの4年間で、11倍にも増加しています。
具体的な被害事例をいくつか抜粋すると、以下の通りです。

川口:2019年は、ご覧の通り「パスワードのリスト型攻撃」や「なりすましによる被害ログイン」といった手口が多くみられました。
こういった手口からは金銭的な実被害がでるケースもあれば、ユーザーの情報が漏洩してしまったというケースもあります。実際に被害ニュース見られた方も多いのではないでしょうか。

川口:こういった被害の発生を受け、昨年の8月頃、経産省・金融庁はリスト型攻撃に対する対策を講じるよう要請を出しました。この要請自体は決済事業者に対するものですが、今後は他の分野でも同様の要請が出される可能性があります。

本日はこういった要請・要望に対応できる手段をご紹介します。
そのために、まずは不正アクセスとはどのようなものなのかを、整理してご紹介します。

不正アクセスとはどのようなものなのか

川口:不正アクセスには大きく分けて2つの種類があります。

1.システムの脆弱性をついてアクセスする不正

川口:1つ目が、システムの脆弱性をついてアクセスする不正です。
事業者のデータベース、OS、アプリケーションなどのセキュリティ上の不備を意図的に利用して行います。
システムの裏口を狙う不正とも言え、従来から多く行われている手法です。

2.他人になりすましてアクセスする不正

川口:2つ目は、近年被害が増加している他人になりすましてアクセスする不正。
例えば不正会員登録のように、不正者が事業者の会員制Webサイトなどに対して、他人のIDや不正に作成したIDを利用してアクセスします。システムの入り口から堂々と入ってくる不正ともいえ、事業者のWebサイト――いわゆるセキュリティホールに、脆弱性がなくても被害が発生します。

次に「他人になりすましてアクセスする不正」にフォーカスを当て、どのような手口があるのか、対策はどのようにすればいいのかというところをお話させて頂きます。

なぜ不正アクセスが増加する3つの要因

川口:まず、なぜ不正アクセスが増加しているのでしょうか。
ずばり、増加の理由としては不正者の利益になるからに他なりません。

それに加えて、近年は大きく3つの要因が影響し、不正アクセスが増加しています。

川口:その3つの要因とは、

  1. 不正アクセス手段の入手が容易になっていること
  2. 不正アクセスによって得られるものの現金化が容易になっていること。
  3. 正アクセスの対策が未整備の状況が発生していること

の3つです。
こちらの3つ詳しくご紹介させて頂きます。

1.不正アクセス手段の入手が容易になっている

川口:昨今、いわゆるダークウェブというものの存在が認知され、誰でも不正アクセス手段の入手が用意になっています。
ダークウェブでは過去に流出したログインIDやパスワードのリスト、不正アクセスを行うためのプログラム、リスト型攻撃を行うためのプログラムなどが売買されています。

こういった情報やダークウェブそのものは、皆さんを含む一般的なエンドユーザーが使用しているGoogle Chrome、Safari、Firefoxといったブラウザでは閲覧できません。
そのため不正者は――あくまで一例ですが、Torブラウザやオニオンルーターというアクセス元を取得してアクセスできるブラウザを用いてアクセスします。
こういったダークウェブなどがある状況が、不正アクセスの入り口のハードルを下げ、不正アクセスを増加させる1つの要因です。

2.現金化が容易になっている

川口:現金化が容易になっているのも要因の1つです。
不正者が不正アクセスによって得られるもの――例えば、不正に商品を入手した場合は、昨今広がりをみせているCtoCマーケットで簡単に売買ができます。商品を入手できなくても、個人情報を入手できていればダークウェブで売買が可能です。
入り口のハードルだけでなく、不正アクセスの出口のハードルも下がっているのです。

3.不正アクセス対策の未整備

川口:そして3つ目、不正アクセス対策の未整備です。
冒頭でご紹介したシステムの脆弱性をついたアクセスに関しては、Firewall、IPS/IDS、WAFなど、様々な対策製品があります。事業者様としても手をつけやすく、対策をしやすくなっています。
一方で、他人になりすましたアクセスを防げるといった製品は多くありません。そのため事業者様も手を出せず、不正を許してしまっている状況です。

川口:加えて、エンドユーザー側も、会員制のサイトにアクセスするID・パスワードを使いまわしているケースが一定数あります。
こういったID・パスワードを使いまわしている状況では、1つのサイトで不正アクセスがされると他サイトにもアクセスできてしまいます。
そのため、他人になりすましてアクセスする不正に関しては、なかなか事業者様が対応できていない現状があります。これも不正アクセスが増加している要因です。


#001では

  • どういった不正アクセスが発生しているのか
  • 不正アクセスが増加する要因は何か

といったお話をお聞きしました。

#002では不正アクセスによって発生する被害についてお話しします。

ピックアップ記事

  1. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」
  2. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  3. 【購入者向け】受取拒否や身に覚えのない荷物への対応について
  4. EC事業者が対策したい「カゴ落ち」とは
  5. eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!

関連記事

  1. 不正アクセス

    不正アクセスへの対策を。被害内容、発生後の対応、不正アクセス禁止法について

    EC向けに国内導入サイト数No.1の不正検知システムを提供するかっこ株…

  2. 不正アクセス

    不正アクセスを検知する「不正検知システム」とは?

    一度発生すると大きな被害が予想される不正アクセス。2020年だけで…

  3. 不正アクセス

    漫画でわかるどこよりもわかりやすいWebセキュリティ入門セミナー ~不正検知サービス編~

    不正アクセスの件数は、4年間で約11倍に増えています。しかし自社で不正…

  4. 不正アクセス

    eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!

    「eKYCとはどういう意味で、どのような特徴があるのだろう?」「e…

  5. データ&レポート

    日本クレジット協会とは

    この記事では 日本クレジット協会とは 日本クレジット協…

おすすめ記事

  1. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解…
  2. eKYCとは?注目が集まる3つの理由や、メリット・デメリット…
  3. サイバー攻撃とは?効果的な対策・検知方法・種類を解説
  4. 【保存版】企業ができるサイバー攻撃への対策
  5. 不正アクセスを検知する「不正検知システム」とは?
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. データ&レポート

    【2020年最新】クレジットカードの不正利用の発生状況と不正被害額まとめ
  2. データ&レポート

    日本クレジット協会が発表した令和元年11月クレジットカードの利用状況について
  3. データ&レポート

    日本クレジット協会が発表した令和元年10月クレジットカードの利用状況について
  4. 3Dセキュア

    3Dセキュアとは?メリットや利用方法を解説
  5. ニュース・業界動向

    サービスの優位性や新規性、革新性を評価。第15回 JNB 新規事業国内フォーラム…
PAGE TOP