不正アクセス

O-MOTION 講演レポート(Security Days 2020)#002 〜あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策〜

最新のセキュリティをテーマにしたカンファレンスとして定評のある「Security Days 2020」での、かっこ株式会社の講演
「あなたの会社も狙われる?最新の不正アクセス事情とWebサイトに求められる対策」
をご紹介する連載記事の第2回です。
(スピーカー:かっこ株式会社O-MOTION事業部 川口祐介)


今回は

  • 不正アクセスによって発生する被害
  • 不正アクセスの具体的な手口

といった、実践的な内容となっています。

不正アクセスによる被害1.個人情報の漏洩

川口:不正アクセスによって発生する被害としてまず挙げられるのが「個人情報の漏洩」です。
不正者がダークウェブなどで盗んだID・パスワードをもとに不正にログインをすると、そのIDに紐づいている氏名、住所、クレジットカード番号、電話番号などの個人情報が不正者の手に渡ってしまいます。
不正者はこの情報を元に、ECサイトで不正な購入をしたり、個人情報をダークウェブで売買したり、個人情報を詐欺・架空請求のリスト元とするといった形で活用します。

また、事業者様はエンドユーザーの資産を漏洩してしまったことを公表しなければなりません。
この公表および事後対応、それに伴うユーザー離れが、事業者様側の不正アクセスによる被害になります。

不正アクセスによる被害2.不正購入・転売

川口:次に不正購入・転売です。特にECサイトにおいて発生する被害ですね。
事業者様によっては、そのIDにクレジットカード情報が紐付けられていることがあります。そうすると不正アクセスをすればクレジットカードで購入ができてしまう。
不正者はそのクレジットカードで購入して商品を受け取り、それをCtoCマーケット等で転売して利益を得るという構造です。

不正アクセスされたエンドユーザーとしては、身に覚えがない購入が発生している形になります。そのためクレジットカード会社に対して、不正利用の申請を行います。
ECサイトの購入では、一部の条件を除いて、不正利用が発生した場合に売上の取り消し――いわゆるチャージバックというものを行うためお金が入ってこないという形になります。
事業者にとっては商品が発送されているのにお金が入ってこない、商品代金の被害が実際的な被害として発生します。

不正アクセスによる被害3.ポイントの不正交換

川口:3つ目の被害としてはポイントの不正交換です。
不正アクセスによる被害1,2と同様に不正者が盗んだID・パスワードを元に不正ログインし、そのIDに紐づいているポイントを、ギフトカード、電子マネー、共通のポイントなどに交換するという形です。この交換されたものは、不正者がECサイトや実店舗で購入するという形で利益を上げます。
個人情報の漏洩と同様に、情報公表による事後対応のコストやユーザー離れという被害もありますし、不正に交換されてしまったポイントを補填しなければいけません。

昨年末、ある電力会社様で不正ログインが発生しました。その被害は、まさにこの形です。
公表されている情報によると、14万ポイントが実際に不正に交換されてしまい不正者の手元に渡ってしまったとのことです。こちらの電力会社様の例では、14万ポイントをユーザー様に返却するという形で発表されています。

またポイントに関して言いますと、不正取得という被害も発生します。
会員を広くするために、会員登録でポイントを進呈するという事業者様も多くいます。そういった特定のポイントを狙う不正です。
不正者が複数人になりすまして会員登録し、それにより得られるポイントを、不正交換と同様にギフトカードや電子マネーに交換しECサイトや実店舗で使用する構造です。

このような不正が行われると、事業者は会員を広く集めビジネスを拡大させるためのマーケティングコストを、有効に使えないという状態になります。
特に、サービスを急激に拡大させようとしている事業者の場合、こういったマーケティングコストを多く投下されており、被害額も大きくなるでしょう。

自社が不正アクセスの被害にあうことで、加害者にもなりうる

川口:ここまで不正アクセスにより発生する被害をご紹介させて頂きました。

その上で、皆様に覚えて頂きたいポイントは「自社が不正アクセスの被害にあうことで加害者にもなりうる」ということです。
個人情報の漏洩被害により、漏洩した情報がエンドユーザーに対して更に被害を生む可能性があります。事業者からみれば不正アクセスにあった被害者という意識かもしれません。

ですが、エンドユーザーからしてみれば、事業者が対応をしなかったことで生まれた被害と見られてしまいます。不正アクセスの対策をしないことで、自社に風評を含めた大きな被害が発生するということをご認識頂ければと思います。

不正アクセスの具体的な手口

川口:それでは次に、不正アクセスはどのような手口で行われるのかということを、具体的にご紹介させて頂きます。

昨今の「他人になりすましてアクセスする不正」でよく使われる手口が、図の上段にあるリスト型攻撃やブルートフォースというような手口です。
ブルートフォースというのは、あらかじめ用意したパスワードのリストを固定のIDに試すという手口。1つのIDに対して、いくつかのパスワードを順に試していくという手口です。

中段、リバースブルートフォースというのは、ブルートフォースの逆のパターン。あらかじめ用意したIDのリストを、固定のパスワードに試すという手法です。
パスワードを固定して、いくつかのIDに対し順番に不正ログインをするという手口になります。

そして下段のリスト型攻撃。こちらが2019年一番多く被害が発生した手口ですが、ID・パスワードの組み合わせをリストとして持っておき、それを順に試していくという手口になります。
こういった攻撃は先程ご紹介したように、元となるID・パスワードはダークウェブ等で入手をします。

リスト型攻撃・ブルートフォースを行うためのフィッシングやフォームジャッキング

川口:リスト型攻撃・ブルートフォースを行うためのID・パスワードを入手するための事前準備として「フィッシング」という手口もございます。
正規のサイトによく似たサイトを作り、エンドユーザーがID・パスワードやクレジットカード等の情報を入力するよう促します。入力してしまうとその情報が不正者にわたり、正規サイトや他サイトへの不正アクセスに利用されてしまいます。

川口:2019年、リスト型攻撃と同様に広く被害が発生した手口としては「フォームジャッキング」です。これは事業者のサイトに対して不正者が悪質なコードを仕込む手口です。
このコードを仕込まれると、正規のサイトに対してユーザーがフォームに入力したIDやPW、クレジットカード情報などが不正者に送信されてしまいます。
こちらで得た情報もフィッシングと同様に、リスト型攻撃やブルートフォースというような手口に使われてしまいます。

キーポイントは「自社では防げない手口もある」ということ

川口:不正アクセスの手口をご紹介させて頂きましたが、キーポイントは「不正アクセスの元は自社で防げないものもある」ということです。
最後にご紹介したフォームジャッキングは、不正アクセスの種類で言いますと、システムの脆弱性をついた形です。
ですが、例えばフィッシングや過去にダークウェブで流出したリスト型攻撃は、元となるID・パスワードを自社でいくら防御していても他サイトで流出してしまっていては攻撃対象になってしまいます。
そのため、事業者としてはエンドユーザーの情報が流出していることを前提として、不正アクセスの対策をとる必要があります。


#002では不正アクセスによって発生する被害について、非常に具体的なお話をお聞きしました。

#003ではご紹介した不正アクセスを防止する方法について解説していただきます。

また#001では

  • どういった不正アクセスが発生しているのか
  • 不正アクセスが増加する要因は何か

といったお話をまとめています。まだご覧になっていない方はこちらもおすすめです。

ピックアップ記事

  1. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について 
  2. eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!
  3. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  4. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」
  5. 事業者が不正なチャージバックを防ぐ対策3つ!不正注文を防いだ事例も紹介

関連記事

  1. データ&レポート

    【2020年最新】クレジットカードの不正利用の発生状況と不正被害額まとめ

    クレジットカードの利用増加に伴い、不正利用の発生状況とその不正被害額は…

  2. 不正アクセス

    SBI証券で発生した不正アクセスの手口を解説

    2020年9月に発生したSBI証券での不正アクセスの被害。この…

  3. 不正アクセス

    漫画でわかるどこよりもわかりやすいWebセキュリティ入門セミナー ~不正検知サービス編~

    不正アクセスの件数は、4年間で約11倍に増えています。しかし自社で不正…

  4. 不正アクセス

    生体認証だけでは不正アクセスは防げない?決して完璧ではない理由

    テクノロジーの発達により、本人確認の手段は多様化しています。比…

  5. 2021年最新 クレジットカード不正利用

    データ&レポート

    【2021年最新】クレジットカードの不正利用の発生状況と不正被害額まとめ

    2021年3月に、一般社団法人日本クレジット協会から最新のクレジットカ…

おすすめ記事

  1. ECサイトでの情報漏洩対策とは?どんなセキュリティ強化をする…
  2. 事業者が不正なチャージバックを防ぐ対策3つ!不正注文を防いだ…
  3. 個人情報漏洩時の3つの罰則規定を詳しく解説|企業の漏洩リスク…
  4. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策…
  5. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. 不正アクセス

    なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について 
  2. 不正検知・ノウハウ

    クレジットカードの不正利用を防ぐ方法は?消費者と事業者の両視点から原因を解説
  3. ニュース・業界動向

    日本クレジット協会が発表した令和2年11月クレジットカードの利用状況について
  4. データ&レポート

    日本クレジット協会が発表した令和元年11月クレジットカードの利用状況について
  5. ニュース・業界動向

    クレジットカードの不正利用防止対策とIC化の取組み状況と具体内容について
PAGE TOP