最新のセキュリティをテーマにしたカンファレンスとして定評のある「Security Days 2020」での、かっこ株式会社の講演
「あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策」
をご紹介する連載記事の第2回です。
(スピーカー:かっこ株式会社O-MOTION事業部 川口祐介)
今回は
- 不正アクセスによって発生する被害
- 不正アクセスの具体的な手口
といった、実践的な内容となっています。
目次
不正アクセスによる被害1.個人情報の漏洩
川口:不正アクセスによって発生する被害としてまず挙げられるのが「個人情報の漏洩」です。
不正者がダークウェブなどで盗んだID・パスワードをもとに不正にログインをすると、そのIDに紐づいている氏名、住所、クレジットカード番号、電話番号などの個人情報が不正者の手に渡ってしまいます。
不正者はこの情報を元に、ECサイトで不正な購入をしたり、個人情報をダークウェブで売買したり、個人情報を詐欺・架空請求のリスト元とするといった形で活用します。
また、事業者様はエンドユーザーの資産を漏洩してしまったことを公表しなければなりません。
この公表および事後対応、それに伴うユーザー離れが、事業者様側の不正アクセスによる被害になります。
不正アクセスによる被害2.不正購入・転売
川口:次に不正購入・転売です。特にECサイトにおいて発生する被害ですね。
事業者様によっては、そのIDにクレジットカード情報が紐付けられていることがあります。そうすると不正アクセスをすればクレジットカードで購入ができてしまう。
不正者はそのクレジットカードで購入して商品を受け取り、それをCtoCマーケット等で転売して利益を得るという構造です。
不正アクセスされたエンドユーザーとしては、身に覚えがない購入が発生している形になります。そのためクレジットカード会社に対して、不正利用の申請を行います。
ECサイトの購入では、一部の条件を除いて、不正利用が発生した場合に売上の取り消し――いわゆるチャージバックというものを行うためお金が入ってこないという形になります。
事業者にとっては商品が発送されているのにお金が入ってこない、商品代金の被害が実際的な被害として発生します。
不正アクセスによる被害3.ポイントの不正交換
川口:3つ目の被害としてはポイントの不正交換です。
不正アクセスによる被害1,2と同様に不正者が盗んだID・パスワードを元に不正ログインし、そのIDに紐づいているポイントを、ギフトカード、電子マネー、共通のポイントなどに交換するという形です。この交換されたものは、不正者がECサイトや実店舗で購入するという形で利益を上げます。
個人情報の漏洩と同様に、情報公表による事後対応のコストやユーザー離れという被害もありますし、不正に交換されてしまったポイントを補填しなければいけません。
昨年末、ある電力会社様で不正ログインが発生しました。その被害は、まさにこの形です。
公表されている情報によると、14万ポイントが実際に不正に交換されてしまい不正者の手元に渡ってしまったとのことです。こちらの電力会社様の例では、14万ポイントをユーザー様に返却するという形で発表されています。
またポイントに関して言いますと、不正取得という被害も発生します。
会員を広くするために、会員登録でポイントを進呈するという事業者様も多くいます。そういった特定のポイントを狙う不正です。
不正者が複数人になりすまして会員登録し、それにより得られるポイントを、不正交換と同様にギフトカードや電子マネーに交換しECサイトや実店舗で使用する構造です。
このような不正が行われると、事業者は会員を広く集めビジネスを拡大させるためのマーケティングコストを、有効に使えないという状態になります。
特に、サービスを急激に拡大させようとしている事業者の場合、こういったマーケティングコストを多く投下されており、被害額も大きくなるでしょう。
自社が不正アクセスの被害にあうことで、加害者にもなりうる
川口:ここまで不正アクセスにより発生する被害をご紹介させて頂きました。
その上で、皆様に覚えて頂きたいポイントは「自社が不正アクセスの被害にあうことで加害者にもなりうる」ということです。
個人情報の漏洩被害により、漏洩した情報がエンドユーザーに対して更に被害を生む可能性があります。事業者からみれば不正アクセスにあった被害者という意識かもしれません。
ですが、エンドユーザーからしてみれば、事業者が対応をしなかったことで生まれた被害と見られてしまいます。不正アクセスの対策をしないことで、自社に風評を含めた大きな被害が発生するということをご認識頂ければと思います。
不正アクセスの具体的な手口
川口:それでは次に、不正アクセスはどのような手口で行われるのかということを、具体的にご紹介させて頂きます。
昨今の「他人になりすましてアクセスする不正」でよく使われる手口が、図の上段にあるリスト型攻撃やブルートフォースというような手口です。
ブルートフォースというのは、あらかじめ用意したパスワードのリストを固定のIDに試すという手口。1つのIDに対して、いくつかのパスワードを順に試していくという手口です。
中段、リバースブルートフォースというのは、ブルートフォースの逆のパターン。あらかじめ用意したIDのリストを、固定のパスワードに試すという手法です。
パスワードを固定して、いくつかのIDに対し順番に不正ログインをするという手口になります。
そして下段のリスト型攻撃。こちらが2019年一番多く被害が発生した手口ですが、ID・パスワードの組み合わせをリストとして持っておき、それを順に試していくという手口になります。
こういった攻撃は先程ご紹介したように、元となるID・パスワードはダークウェブ等で入手をします。
リスト型攻撃・ブルートフォースを行うためのフィッシングやフォームジャッキング
川口:リスト型攻撃・ブルートフォースを行うためのID・パスワードを入手するための事前準備として「フィッシング」という手口もございます。
正規のサイトによく似たサイトを作り、エンドユーザーがID・パスワードやクレジットカード等の情報を入力するよう促します。入力してしまうとその情報が不正者にわたり、正規サイトや他サイトへの不正アクセスに利用されてしまいます。
川口:2019年、リスト型攻撃と同様に広く被害が発生した手口としては「フォームジャッキング」です。これは事業者のサイトに対して不正者が悪質なコードを仕込む手口です。
このコードを仕込まれると、正規のサイトに対してユーザーがフォームに入力したIDやPW、クレジットカード情報などが不正者に送信されてしまいます。
こちらで得た情報もフィッシングと同様に、リスト型攻撃やブルートフォースというような手口に使われてしまいます。
キーポイントは「自社では防げない手口もある」ということ
川口:不正アクセスの手口をご紹介させて頂きましたが、キーポイントは「不正アクセスの元は自社で防げないものもある」ということです。
最後にご紹介したフォームジャッキングは、不正アクセスの種類で言いますと、システムの脆弱性をついた形です。
ですが、例えばフィッシングや過去にダークウェブで流出したリスト型攻撃は、元となるID・パスワードを自社でいくら防御していても他サイトで流出してしまっていては攻撃対象になってしまいます。
そのため、事業者としてはエンドユーザーの情報が流出していることを前提として、不正アクセスの対策をとる必要があります。
#002では不正アクセスによって発生する被害について、非常に具体的なお話をお聞きしました。
#003ではご紹介した不正アクセスを防止する方法について解説していただきます。
また#001では
- どういった不正アクセスが発生しているのか
- 不正アクセスが増加する要因は何か
といったお話をまとめています。まだご覧になっていない方はこちらもおすすめです。