不正アクセス

O-MOTION 講演レポート(Security Days 2020)#003 〜あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策〜

最新のセキュリティをテーマにしたカンファレンスとして定評のある「Security Days 2020」での、かっこ株式会社の講演
「あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策」
をご紹介する連載記事の第3回です。
(スピーカー:かっこ株式会社O-MOTION事業部 川口祐介)


今回は

  • どうすれば不正アクセスを防止できるのか
  • 具体的な対策手段
  • 対策手段それぞれのメリット・デメリット

といった内容が語られています。

どうすれば不正アクセスを防止できるのか

川口:では、どうすれば不正アクセスを防止できるのか。
すでにみなさんお聞きになった対策もあるかもしれません。そういったものも含めてご紹介させて頂きます。

1.異常なアクセス数に対する遮断

川口:1つ目は「異常なアクセス数を遮断する」という対策です。リスト型攻撃やブルートフォースへの対策として効果が見込めます。
例えば、この図のように本来のパスワードは「aabbcc」であるとします。これに対し不正者がいくつかのパスワードを試してきた場合、1つのアカウントで5回失敗すると以降のアクセスを遮断するといった形をとります。
異常なアクセス数というのは、アカウントに対するアクセス数という考え方もあれば、同一のIPアドレスからのアクセス数とする場合もあります。

2.認証サービスの導入

川口:2つ目は「認証サービスの導入」です。
SNS認証、合言葉認証、画像認証といった手段で、ID・パスワード入力以外の本人確認手段を用意します。それをもって、アクセスを許可を判断するという対策です。こういった対策および製品は多く提供されているので、導入されている方も多数いらっしゃると思います。

対策手段によってメリット・デメリットが

川口:しかし、どうしてもメリット、デメリットというものが発生します。
先ほどご紹介した「異常アクセス数に対する遮断」は、ユーザーのUI/UX――いわゆる使い勝手を損なうことなく、対策が可能です。
ですが、不正アクセス、IPアドレス、アカウントを変えてアクセスされてしまうと、異常アクセスを捕まえられずに対策ができないというデメリットがあります。

一方で「認証サービス」、「SNS認証」、「合言葉認証」といった手段は、セキュリティ対策としては非常に強固なものと言えます。ですが、アクセスのたびにユーザーに認証してもらう形になると、ユーザーの使い勝手が低下し、サービスからの離脱につながってしまうデメリットがございます。

画像認証――「reCAPTCHA(リキャプチャー)」はみなさんもご覧になったことがあるかと思います。
これらは不正アクセスの中でも機械的なリスト型攻撃や、ブルートフォースなどには有効な対策です。しかしID・パスワードを特定し、人の手で不正アクセスをされてしまうと、対策はできません。
また、アクセスのたびに認証してもらうため、ユーザーの使い勝手というUI/UX面のデメリットもございます。

川口:このUI/UXとセキュリティのトレードオフの関係は、不正アクセス防止のキーポイントです。
セキュリティを上げれば上げるほど、ユーザーは面倒に。対策を強化すればするほど、ユーザーのUI/UXの低下に繋がるというところです。
セキュリティを強化し続け、ユーザーに使い勝手が悪いと思われるWebサイト・サービスになってしまいますと、売り上げそのものに大きな影響を与える場合があります。

売り上げを犠牲にせず不正アクセスを防止する方法は

川口:セキュリティのために売り上げを犠牲にするというのは、皆様、許容できないかと思います。
そこで不正アクセスの防止には、ユーザーに負担をかけずにセキュリティを強化する「不正検知システムの導入」が有効と言えます。

その不正検知の仕組みとして紹介させて頂くのが、弊社の不正アクセス検知サービス「O-MOTION」という製品です。

不正アクセス検知サービスO-MOTIONとは

川口:O-MOTIONとは、ユーザーの端末を独自の技術で特定管理し、ユーザーの操作情報から不正傾向を判定できる製品です。
導入に関しては、Javascriptのタグを挿入するだけで簡単に導入頂けます。不正傾向の判定は、アクセスごとにリアルタイムで実施。つまり、リアルタイムで不正アクセスを検知することが可能になります。

O-MOTIONの特徴1.独自の端末特定技術でなりすましのアクセスを識別

川口:O-MOTIONの特徴として挙げられるのが、独自の端末特定技術です。

例としてユーザーが計4回アクセスしてきたケースを考えてみましょう。
Webで広く使われているcookieという技術だけで端末を特定・管理した場合、2回目と3回目でcookieの値が異なってしまうと、この要素だけでは同じ端末だと判断できません。

ですが、弊社O-MOTIONの場合、cookieも使いながら独自の端末特定技術で、2回目や3回目も同じ端末からアクセスされたと判断できます。
当然この端末特定技術で値が変わってしまうこともあります。ですが、cookieも使っていますので、3回目や4回目も同じ端末でアクセスされていると特定できます。

この端末特定の技術によって、不正アクセス・不正ログインをされる際に、普段からユーザーが使用している端末以外からアクセスだと判断ができます。
また、不正者が悪意を持ってアクセスした時に、同じ端末から複数のアカウント、複数の箇所にアクセスしようとしていると判別できます。
そのため、端末を特定管理することで、なりすましのアクセスが見抜けるようになるのです。

O-MOTIONの特徴2.操作情報を活用しての不正検知が可能

川口:操作情報を活用しての不正検知もO-MOTIONの特徴です。
操作情報とは、キーボードを押す動きやマウスを動かし方を活用して、不正アクセスを見抜くという技術です。

あくまで不正アクセスを見抜くための一例ですが、こちらの図はキーボードを押して離すまでの時間というものを、人が押している場合と、プログラムがアクセスされている場合で比較したものです。左側の「人がキーを押す場合」を見ていただきますと、どれだけ早く操作していても、タッチタイミング――つまりキーボードを押してから離すまでいくらかの秒数が発生しています。

例えばリスト型攻撃のようにプログラムを予め組んで操作されている場合、こういったキーの入力時間は限りなく0に近いとわかっています。
このようにキーボードを押す動きを見ることで、機械的なアクセスか人によるアクセスかを明確に見分けられます。

O-MOTIONであればUI/UXとセキュリティのバランスをとった対策が可能

川口:こういった2つの特徴から、O-MOTIONはアクセス毎に不正を検知でき、正常なユーザーはそのまま不正なアクセスを遮断。そして不正の疑いがある、限りなく黒に近いグレーというアクセスだけに、強力なセキュリティ手段である認証サービスを使うといった仕組みがとれます。
これにより、UI/UXとセキュリティのバランスをとった対策が可能です。

O-MOTIONはインターネットバンキングや大手会員サイトの不正対策に導入実績が

川口:これまで実際に活用頂いている、O-MOTIONの事例をご紹介させて頂きます。
ある銀行様でのインターネットバンキングでの不正ログイン対策にご利用頂いていたり、大手会員サイト様で不正ログインフローに組み込んで頂いて対策をして頂いたり、大手ECサイト様の不正会員登録の対策でご利用頂いたりという実績がございます。このように、大手の企業様を中心に様々な業者様でご活用頂いております。

O-MOTIONのご利用方法と導入までの流れ

川口:またO-MOTIONは非常に導入ハードルの低い製品です。
導入時は弊社から提供するJavascriptのタグを、対策したいページに挿入頂くだけで準備が完了します。以降、Webサイトにエンドユーザーがアクセスをすると、そのアクセス毎に自動で審査を実施します。

その審査の結果に関しては、システム連携で1つ1つ結果を取得することも可能です。また、より簡単なものだと怪しいアクセスが発生した場合にのみ、メール通知等でお知らせをさせて頂く形もとれます。
管理画面も提供しておりますので、そこからどのような理由で不正アクセスと判断されたかもご確認頂けます。

川口:こちらの図が O-MOTIONの導入までの流れです。

ポイントは、「トライアル」という形で自分たちのサイトがどのようなアクセス状況になっているのかをご確認頂ける点です。
昨今のニュースで不正アクセス対策をしなければいけないというところで、皆様情報収集をされていると思います。ですが「どこまで対策をすればいいかわからない」、「自分たちがどれだけ被害にあっているかもわからない」というところもあるかと思います。
そういった部分をトライアルでデータ取得させて頂き、弊社からレポーティングをすることで状況を可視化。それをもとに、どのような不正アクセス対策をとればいいかをご提案させて頂いております。

ぜひ、トライアルでの不正アクセス確認を、お気軽にお問い合わせ頂ければと思います。


以上が、かっこ株式会社「O-MOTION Securitydays」のセッション内容です。

今回のセッションで「不正アクセスは4年間で11倍と非常に増加している」とありましたが、ご存じでしたか? その要因として、不正アクセス手段の入手および不正で得たものの現金化がのハードルが下がっていることも解説していただきました。

自社が不正アクセスの被害にあうことで、エンドユーザーに対し加害者になってしまうケースもあります。そのため、事業者はユーザーの情報が流出しているということを前提とし、ユーザーのUI/UXの低下とバランスをとって対策をとる必要があります。

それに対する有効的な手段としてO-MOTIONのご紹介もいただきました。詳細はかっこ株式会社の公式サイトをご覧ください。

O-MOTION 仕組み紹介

初期費用150万が10万円になるトライアルキャンペーン受付中!
O-MOTIONの資料DLはこちら

参考:O-MOTION | 不正検知サービス | かっこ株式会社 – Cacco Inc.

また、今回のセッションは3記事にわけてレポートしました。
#001、#002もぜひ併せてご覧ください。

ピックアップ記事

  1. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策とは?
  2. 不正アクセスを検知する「不正検知システム」とは?
  3. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」
  4. サイバー攻撃とは?効果的な対策・検知方法・種類を解説
  5. 転売屋対策に効果のある9つの方法を紹介!転売が引き起こすリスクとは?

関連記事

  1. 不正アクセス

    不正アクセスの件数は実際どのくらい?総務省のデータを元に徹底解説

    「不正アクセスがあったと聞くが、不正アクセスはどのくらいの発生している…

  2. 不正アクセス

    不正アクセスを防止する方法は?今すぐ対策を解説

    不正アクセスを防止する具体的な方法はあるのでしょうか?この記事では…

  3. Netflix 不正アクセス,Netflix 乗っ取り

    不正アクセス

    【即解決】Netflixの乗っ取り・不正アクセス被害を防ぐ方法

    「Netflix(ネットフリックス)から見に覚えのないログイン通知が来…

2022年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
今すぐできる!不正リスクの無料セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

おすすめ記事

  1. 不正アクセスとは? 主な原因や巧妙な手口、4つの対策例を紹介…
  2. 【2022年最新】クレジットカードの不正利用被害は過去最高額…
  3. クレジットマスターの手口や被害とは?不正利用を防ぐための対策…
  4. 転売屋対策に効果のある9つの方法を紹介!転売が引き起こすリス…
  5. 不正検知サービスは無料で利用できる?価格を抑えて導入する方法…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2022年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. データ&レポート

    日本クレジット協会とは
  2. 不正検知・ノウハウ

    2016年改正、2018年施行の割賦販売法。2020年3月が対応期限で東京オリン…
  3. 不正アクセス

    生体認証だけでは不正アクセスは防げない?決して完璧ではない理由
  4. ニュース・業界動向

    BNPL(バイナウペイレーター)の導入事例5選!日本の市場動向は?
  5. ニュース・業界動向

    クレジットカード情報流出に気付きにくい!? 国内で利用したつもりが、グローバル企…
PAGE TOP