不正アクセス

O-MOTION 講演レポート(Security Days 2020)#001 〜あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策〜

最新のセキュリティをテーマにしたカンファレンスとして定評のある「Security Days 2020」にて、かっこ株式会社が講演を行いました。
「あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策」と題してお伝えした内容を、3記事にわたりご紹介します。
(スピーカー:かっこ株式会社O-MOTION事業部 川口祐介)

不正アクセスの被害事例

川口:不正アクセスの被害は2015年から2019年までの4年間で、11倍にも増加しています。
具体的な被害事例をいくつか抜粋すると、以下の通りです。

川口:2019年は、ご覧の通り「パスワードのリスト型攻撃」や「なりすましによる被害ログイン」といった手口が多くみられました。
こういった手口からは金銭的な実被害がでるケースもあれば、ユーザーの情報が漏洩してしまったというケースもあります。実際に被害ニュース見られた方も多いのではないでしょうか。

川口:こういった被害の発生を受け、昨年の8月頃、経産省・金融庁はリスト型攻撃に対する対策を講じるよう要請を出しました。この要請自体は決済事業者に対するものですが、今後は他の分野でも同様の要請が出される可能性があります。

本日はこういった要請・要望に対応できる手段をご紹介します。
そのために、まずは不正アクセスとはどのようなものなのかを、整理してご紹介します。

不正アクセスとはどのようなものなのか

川口:不正アクセスには大きく分けて2つの種類があります。

1.システムの脆弱性をついてアクセスする不正

川口:1つ目が、システムの脆弱性をついてアクセスする不正です。
事業者のデータベース、OS、アプリケーションなどのセキュリティ上の不備を意図的に利用して行います。
システムの裏口を狙う不正とも言え、従来から多く行われている手法です。

2.他人になりすましてアクセスする不正

川口:2つ目は、近年被害が増加している他人になりすましてアクセスする不正。
例えば不正会員登録のように、不正者が事業者の会員制Webサイトなどに対して、他人のIDや不正に作成したIDを利用してアクセスします。システムの入り口から堂々と入ってくる不正ともいえ、事業者のWebサイト――いわゆるセキュリティホールに、脆弱性がなくても被害が発生します。

次に「他人になりすましてアクセスする不正」にフォーカスを当て、どのような手口があるのか、対策はどのようにすればいいのかというところをお話させて頂きます。

なぜ不正アクセスが増加する3つの要因

川口:まず、なぜ不正アクセスが増加しているのでしょうか。
ずばり、増加の理由としては不正者の利益になるからに他なりません。

それに加えて、近年は大きく3つの要因が影響し、不正アクセスが増加しています。

川口:その3つの要因とは、

  1. 不正アクセス手段の入手が容易になっていること
  2. 不正アクセスによって得られるものの現金化が容易になっていること。
  3. 正アクセスの対策が未整備の状況が発生していること

の3つです。
こちらの3つ詳しくご紹介させて頂きます。

1.不正アクセス手段の入手が容易になっている

川口:昨今、いわゆるダークウェブというものの存在が認知され、誰でも不正アクセス手段の入手が用意になっています。
ダークウェブでは過去に流出したログインIDやパスワードのリスト、不正アクセスを行うためのプログラム、リスト型攻撃を行うためのプログラムなどが売買されています。

こういった情報やダークウェブそのものは、皆さんを含む一般的なエンドユーザーが使用しているGoogle Chrome、Safari、Firefoxといったブラウザでは閲覧できません。
そのため不正者は――あくまで一例ですが、Torブラウザやオニオンルーターというアクセス元を取得してアクセスできるブラウザを用いてアクセスします。
こういったダークウェブなどがある状況が、不正アクセスの入り口のハードルを下げ、不正アクセスを増加させる1つの要因です。

2.現金化が容易になっている

川口:現金化が容易になっているのも要因の1つです。
不正者が不正アクセスによって得られるもの――例えば、不正に商品を入手した場合は、昨今広がりをみせているCtoCマーケットで簡単に売買ができます。商品を入手できなくても、個人情報を入手できていればダークウェブで売買が可能です。
入り口のハードルだけでなく、不正アクセスの出口のハードルも下がっているのです。

3.不正アクセス対策の未整備

川口:そして3つ目、不正アクセス対策の未整備です。
冒頭でご紹介したシステムの脆弱性をついたアクセスに関しては、Firewall、IPS/IDS、WAFなど、様々な対策製品があります。事業者様としても手をつけやすく、対策をしやすくなっています。
一方で、他人になりすましたアクセスを防げるといった製品は多くありません。そのため事業者様も手を出せず、不正を許してしまっている状況です。

川口:加えて、エンドユーザー側も、会員制のサイトにアクセスするID・パスワードを使いまわしているケースが一定数あります。
こういったID・パスワードを使いまわしている状況では、1つのサイトで不正アクセスがされると他サイトにもアクセスできてしまいます。
そのため、他人になりすましてアクセスする不正に関しては、なかなか事業者様が対応できていない現状があります。これも不正アクセスが増加している要因です。


#001では

  • どういった不正アクセスが発生しているのか
  • 不正アクセスが増加する要因は何か

といったお話をお聞きしました。

#002では不正アクセスによって発生する被害についてお話しします。

ピックアップ記事

  1. EC事業者が対策したい「カゴ落ち」とは
  2. 【保存版】企業ができるサイバー攻撃への対策
  3. 【2022年最新】クレジットカードの不正利用被害は過去最高額!クレカ不正の発生状…
  4. クレジットカードの不正利用を防ぐ方法は?消費者と事業者の両視点から原因を解説
  5. クレジットカードにセキュリティコード(SC)がある理由を解説

関連記事

  1. 不正アクセス

    不正アクセスを防ぐ4つの対策とは|被害事例や最新の動向も解説

    この記事では不正アクセスを防ぐ対策として、4つの対策をご紹介します。…

  2. データ&レポート

    日本クレジット協会とは

    この記事では 日本クレジット協会とは 日本クレジット協…

  3. 不正アクセス

    不正アクセスへの対策を。被害内容、発生後の対応、不正アクセス禁止法について

    EC向けに国内導入サイト数No.1の不正検知システムを提供するかっこ株…

  4. 楽天ポイント 不正

    不正アクセス

    楽天ポイントで不正利用被害発生|返還はされるのか、対策や被害後の対応について解説

    「楽天ポイントが不正利用されてる・・・」「楽天ポイントは不正利用さ…

  5. 不正アクセス

    なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について

    窃取した情報を使用し、第三者が本人になりかわる「なりすまし」。…

  6. 不正アクセス

    U-NEXTの乗っ取り・不正アクセス対策|公式よりも分かりやすく解説

    「U-NEXTアカウントが乗っ取られた?」「解約したのにU-NEX…

今すぐできる!不正リスクの無料セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
いざという時に。不正アクセス被害後の対応手順マニュアル

おすすめ記事

  1. 不正アクセスとは? 主な原因や巧妙な手口、4つの対策例を紹介…
  2. 【2022年最新】クレジットカードの不正利用被害は過去最高額…
  3. クレジットマスターの手口や被害とは?不正利用を防ぐための対策…
  4. 転売屋対策に効果のある9つの方法を紹介!転売が引き起こすリス…
  5. 不正検知サービスは無料で利用できる?価格を抑えて導入する方法…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正検知・ノウハウ

    【後払い未払い発生時の対策】督促手順や支払う意思がない購入者への対応について
  2. 不正検知・ノウハウ

    不正転売・悪質転売とは?
  3. 不正検知・ノウハウ

    割賦販売法の改正に伴い発表された「実行計画」の内容を解説
  4. 不正アクセス

    消費者向け11の不正ログイン対策と事業者の防止策
  5. 不正アクセス

    不正アクセスを防ぐ4つの対策とは|被害事例や最新の動向も解説
PAGE TOP