不正アクセス

O-MOTION 講演レポート(Security Days 2020)#002 〜あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策〜

最新のセキュリティをテーマにしたカンファレンスとして定評のある「Security Days 2020」での、かっこ株式会社の講演
「あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策」
をご紹介する連載記事の第2回です。
(スピーカー:かっこ株式会社O-MOTION事業部 川口祐介)


今回は

  • 不正アクセスによって発生する被害
  • 不正アクセスの具体的な手口

といった、実践的な内容となっています。

不正アクセスによる被害1.個人情報の漏洩

川口:不正アクセスによって発生する被害としてまず挙げられるのが「個人情報の漏洩」です。
不正者がダークウェブなどで盗んだID・パスワードをもとに不正にログインをすると、そのIDに紐づいている氏名、住所、クレジットカード番号、電話番号などの個人情報が不正者の手に渡ってしまいます。
不正者はこの情報を元に、ECサイトで不正な購入をしたり、個人情報をダークウェブで売買したり、個人情報を詐欺・架空請求のリスト元とするといった形で活用します。

また、事業者様はエンドユーザーの資産を漏洩してしまったことを公表しなければなりません。
この公表および事後対応、それに伴うユーザー離れが、事業者様側の不正アクセスによる被害になります。

不正アクセスによる被害2.不正購入・転売

川口:次に不正購入・転売です。特にECサイトにおいて発生する被害ですね。
事業者様によっては、そのIDにクレジットカード情報が紐付けられていることがあります。そうすると不正アクセスをすればクレジットカードで購入ができてしまう。
不正者はそのクレジットカードで購入して商品を受け取り、それをCtoCマーケット等で転売して利益を得るという構造です。

不正アクセスされたエンドユーザーとしては、身に覚えがない購入が発生している形になります。そのためクレジットカード会社に対して、不正利用の申請を行います。
ECサイトの購入では、一部の条件を除いて、不正利用が発生した場合に売上の取り消し――いわゆるチャージバックというものを行うためお金が入ってこないという形になります。
事業者にとっては商品が発送されているのにお金が入ってこない、商品代金の被害が実際的な被害として発生します。

不正アクセスによる被害3.ポイントの不正交換

川口:3つ目の被害としてはポイントの不正交換です。
不正アクセスによる被害1,2と同様に不正者が盗んだID・パスワードを元に不正ログインし、そのIDに紐づいているポイントを、ギフトカード、電子マネー、共通のポイントなどに交換するという形です。この交換されたものは、不正者がECサイトや実店舗で購入するという形で利益を上げます。
個人情報の漏洩と同様に、情報公表による事後対応のコストやユーザー離れという被害もありますし、不正に交換されてしまったポイントを補填しなければいけません。

昨年末、ある電力会社様で不正ログインが発生しました。その被害は、まさにこの形です。
公表されている情報によると、14万ポイントが実際に不正に交換されてしまい不正者の手元に渡ってしまったとのことです。こちらの電力会社様の例では、14万ポイントをユーザー様に返却するという形で発表されています。

またポイントに関して言いますと、不正取得という被害も発生します。
会員を広くするために、会員登録でポイントを進呈するという事業者様も多くいます。そういった特定のポイントを狙う不正です。
不正者が複数人になりすまして会員登録し、それにより得られるポイントを、不正交換と同様にギフトカードや電子マネーに交換しECサイトや実店舗で使用する構造です。

このような不正が行われると、事業者は会員を広く集めビジネスを拡大させるためのマーケティングコストを、有効に使えないという状態になります。
特に、サービスを急激に拡大させようとしている事業者の場合、こういったマーケティングコストを多く投下されており、被害額も大きくなるでしょう。

自社が不正アクセスの被害にあうことで、加害者にもなりうる

川口:ここまで不正アクセスにより発生する被害をご紹介させて頂きました。

その上で、皆様に覚えて頂きたいポイントは「自社が不正アクセスの被害にあうことで加害者にもなりうる」ということです。
個人情報の漏洩被害により、漏洩した情報がエンドユーザーに対して更に被害を生む可能性があります。事業者からみれば不正アクセスにあった被害者という意識かもしれません。

ですが、エンドユーザーからしてみれば、事業者が対応をしなかったことで生まれた被害と見られてしまいます。不正アクセスの対策をしないことで、自社に風評を含めた大きな被害が発生するということをご認識頂ければと思います。

不正アクセスの具体的な手口

川口:それでは次に、不正アクセスはどのような手口で行われるのかということを、具体的にご紹介させて頂きます。

昨今の「他人になりすましてアクセスする不正」でよく使われる手口が、図の上段にあるリスト型攻撃やブルートフォースというような手口です。
ブルートフォースというのは、あらかじめ用意したパスワードのリストを固定のIDに試すという手口。1つのIDに対して、いくつかのパスワードを順に試していくという手口です。

中段、リバースブルートフォースというのは、ブルートフォースの逆のパターン。あらかじめ用意したIDのリストを、固定のパスワードに試すという手法です。
パスワードを固定して、いくつかのIDに対し順番に不正ログインをするという手口になります。

そして下段のリスト型攻撃。こちらが2019年一番多く被害が発生した手口ですが、ID・パスワードの組み合わせをリストとして持っておき、それを順に試していくという手口になります。
こういった攻撃は先程ご紹介したように、元となるID・パスワードはダークウェブ等で入手をします。

リスト型攻撃・ブルートフォースを行うためのフィッシングやフォームジャッキング

川口:リスト型攻撃・ブルートフォースを行うためのID・パスワードを入手するための事前準備として「フィッシング」という手口もございます。
正規のサイトによく似たサイトを作り、エンドユーザーがID・パスワードやクレジットカード等の情報を入力するよう促します。入力してしまうとその情報が不正者にわたり、正規サイトや他サイトへの不正アクセスに利用されてしまいます。

川口:2019年、リスト型攻撃と同様に広く被害が発生した手口としては「フォームジャッキング」です。これは事業者のサイトに対して不正者が悪質なコードを仕込む手口です。
このコードを仕込まれると、正規のサイトに対してユーザーがフォームに入力したIDやPW、クレジットカード情報などが不正者に送信されてしまいます。
こちらで得た情報もフィッシングと同様に、リスト型攻撃やブルートフォースというような手口に使われてしまいます。

キーポイントは「自社では防げない手口もある」ということ

川口:不正アクセスの手口をご紹介させて頂きましたが、キーポイントは「不正アクセスの元は自社で防げないものもある」ということです。
最後にご紹介したフォームジャッキングは、不正アクセスの種類で言いますと、システムの脆弱性をついた形です。
ですが、例えばフィッシングや過去にダークウェブで流出したリスト型攻撃は、元となるID・パスワードを自社でいくら防御していても他サイトで流出してしまっていては攻撃対象になってしまいます。
そのため、事業者としてはエンドユーザーの情報が流出していることを前提として、不正アクセスの対策をとる必要があります。


#002では不正アクセスによって発生する被害について、非常に具体的なお話をお聞きしました。

#003ではご紹介した不正アクセスを防止する方法について解説していただきます。

また#001では

  • どういった不正アクセスが発生しているのか
  • 不正アクセスが増加する要因は何か

といったお話をまとめています。まだご覧になっていない方はこちらもおすすめです。

ピックアップ記事

  1. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について 
  2. 不正アクセスを検知する「不正検知システム」とは?
  3. テレワーク時代における効果的なセキュリティ対策について
  4. 【保存版】企業ができるサイバー攻撃への対策
  5. EC事業者が対策したい「カゴ落ち」とは

関連記事

  1. 2021年最新 クレジットカード不正利用

    データ&レポート

    【2021年最新】クレジットカードの不正利用の発生状況と不正被害額まとめ

    2021年3月に、一般社団法人日本クレジット協会から最新のクレジットカ…

  2. 不正アクセス

    「PR TIMES」不正アクセス被害による”発表前プレスリリース情報”の漏洩…

    「PR TIMES」は、2021年7月9日に"発表前プレリリース情報"…

  3. Two-factor authentication (2FA) and fingerprint touch identification security concept. User with digital tablet and smart phone and two-factor authentication security process, flatlay design.

    不正アクセス

    二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!

    「二要素認証について詳しく知りたい」「二要素認証の活用事例について…

  4. データ&レポート

    【2020年最新】クレジットカードの不正利用の発生状況と不正被害額まとめ

    クレジットカードの利用増加に伴い、不正利用の発生状況とその不正被害額は…

  5. 不正アクセス

    消費者向け11の不正ログイン対策と事業者の防止策

    不正ログインが増加していると聞いても何をしたらいいかわからない…

  6. Business, Technology, Internet and network concept. Business man working on the tablet of the future, select on the virtual display: Access control

    不正アクセス

    リスクベース認証とは?仕組みやメリット・デメリットをまとめて解説!

    「リスクベース認証とは何か知りたい」「リスクベース認証の導入メリッ…

おすすめ記事

  1. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解…
  2. eKYCとは?注目が集まる3つの理由や、メリット・デメリット…
  3. サイバー攻撃とは?効果的な対策・検知方法・種類を解説
  4. 【保存版】企業ができるサイバー攻撃への対策
  5. 不正アクセスを検知する「不正検知システム」とは?
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. ニュース・業界動向

    約3200回の無断キャンセルを繰り返しポイントを不正入手。ホテルへおよそ1億15…
  2. 不正検知・ノウハウ

    QRコード決済からのカード情報の不正流出と不正利用防止対策に関するガイドラインの…
  3. 不正アクセス

    SBI証券で発生した不正アクセスの手口を解説
  4. 不正アクセス

    消費者向け11の不正ログイン対策と事業者の防止策
  5. データ&レポート

    日本クレジット協会が発表した令和元年11月クレジットカードの利用状況について
PAGE TOP