不正アクセス

不正ログインとは?考えられる被害やリスク、手口。個人やサービス提供者ができる対策方法について

2020年3月5日、警察庁、総務省、経済産業省は2019年における不正アクセス行為の認知件数は2960件に及ぶと発表。2018年の件数は1474件だったのに対し、99.2%もの増加となりました。

参考:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況│総務省

今回は、不正アクセスの中でも被害件数の多い「不正ログイン」について採り上げます。

その手口はどういったものがあるのでしょうか?
私達ユーザーができる対策方法はあるのでしょうか?

不正ログインとは

「不正ログイン」とは悪意ある第三者が他人のログイン情報を不正に入手し、なりすましてアクセスする行為のことです。
通販サイトやネットバンキング、SNS、スマートフォンなど様々なものがターゲットになります。

\10万円でトライアルも受付中!/
トライアルのお申込はこちら

不正ログインの狙いと考えられる被害

不正ログインの狙いは

  1. 金銭やデータ、個人情報などを窃取すること
  2. 別の不正を行う際の媒体として利用すること

の2点が挙げられます。

1つ目は金銭やデータ、個人情報などの窃取。
例えば、ネットバンキングであれば不正に送金されてしまう可能性があります。通販サイトであればポイントを不正に利用したり、登録されているクレジットカード番号など決済に必要な情報を盗み取ったり、様々な被害が想定できます。

また、住所や名前などの個人情報やクレジットカード情報は、通常の方法ではアクセスできない非合法な取引サイト(ダークウェブ)で売買されるケースもあります。
具体的な事例はこちらの記事でも解説しています。

2つ目は別の不正を行う際の媒体として利用することです。

例えば、日本に訪れる海外からの旅行者を狙って不正な旅行商品の宣伝を行い、料金を騙しとる「不正トラベル」という手口があります。
この不正トラベルは旅行者から宿泊等の旅行の申込を受け付け、依頼された旅行の手配を盗用したクレジットカード情報などを使用して行います。カードの名義人やクレジットカード会社が情報窃取に気付かなければ決済は完了。不正者はそのまま旅行者に予約情報を伝達し、代金を受け取ります。
仮に名義人やクレジットカード会社が情報窃取に気付きキャンセルしたとしても、不正者は旅行者から代金をだまし取ることができてしまいます。

また、第三者の情報で決済を行うことで不正者まで捜査の手が及びにくくなるという厄介な特徴も。
不正にログインされ、情報が盗用された場合、間接的にではありますが、無自覚なまま不正行為に加担してしまっていた……ということもあり得えます。

不正トラベルについてより詳しく知りたいという方はこちらの記事もご覧ください。

不正ログインの具体的な手口

では不正ログインはどのような手口で行われるのでしょうか。

代表的なものは以下の4つです。

  1. パスワードリスト攻撃
  2. 総当たり攻撃(ブルートフォースアタック)
  3. 辞書アタック
  4. フィッシング

「パスワードリスト攻撃」とは不正者が入手したID・パスワードのリストを用いて、不正ログインを試みるサイバー攻撃のこと。
仮に複数のサービスで同じID・パスワードを設定しているユーザーの情報が不正者の手に渡った場合、大きな被害を及ぼす可能性もあります。独立行政法人情報処理推進機構(IPA)が「情報セキュリティ10大脅威 2020」でも注意を呼びかけており、代表的な手口と言えるでしょう。

参考:情報セキュリティ10大脅威 2020│独立行政法人情報処理推進機構(IPA)

「総当たり攻撃(ブルートフォースアタック)」は考えられ得るID・パスワードの組合せを全て試す手口です。
パスワードリスト攻撃よりも強引な方法ではありますが、仮にIDとパスワードのどちらかだけでも特定されてしまうと不正ログインまでに必要な時間がぐっと減り、不正にログインされやすくなってしまいます。

「辞書アタック」とは人間が発想しやすい使用頻度の高いパスワードを優先的に試し、不正ログインを試みる攻撃です。
人名や誕生日など意味のある文字列をパスワードに設定している場合に成功しやすい手口です。

「フィッシング」とは公的機関や有名企業を装ってメールなどでユーザーに接触し、偽のWebサイトへ誘導した後、ID・パスワードや個人情報を入力させる手口です。
ユーザー自身に情報を開示させるため不正ログインに必要な情報特定に必要な時間が少ないのが特徴です。

次項からは、このような手口で行われる不正ログインに対し、私達ユーザーができる対策をご紹介します。

不正ログインの対策

私達ユーザーができる不正ログインの対策として、ぜひ心がけたいのが以下の4つです。

  1. 強固なパスワードの設定と流出時のパスワード更新
  2. OSやアプリケーション、セキュリティソフトなどの最新化
  3. 安易に情報の開示を行わない
  4. 不正ログイン対策を行っている事業者を利用する

まずは強固なパスワードの設定です。
人名や誕生日など意味のある文字列を避け複雑なものに設定すれば、総当たり攻撃や辞書アタックといった手口への対策となります。また万一、実際にパスワードを破られてアカウント乗っ取りにあった、サービス側から流出があったなどの事実があれば、パスワードを更新しましょう。なお、パスワードを単に定期的に更新する必要はなく、むしろ更新の手間から単純なパスワードを設定しがちになるなどの弊害が指摘されています。

また、お持ちのスマートフォンやパソコンの最新化は常に行いましょう。
OSやアプリケーション、セキュリティソフトなどをアップデートすることで、情報を抜き取ろうとするウイルス・マルウェアの感染防止に役立ちます。

フィッシング対策として、安易に情報の開示を行わないよう日頃から意識を高めることも大切。
個人情報を入力する際は正規のWebサイトかどうか確認し、定期的に利用するサービスであればブックマーク機能を使うのも効果的です。

サービス等を利用する前に、その事業者がしっかりとした不正ログイン対策を行っているか確認しておくことも重要なポイントです。
中には仮に不正者が盗取したID・パスワードを使ってログインしても、挙動から察知できるような不正検知システムを導入している事業者もいます。またユーザーに対し強固なパスワードの設定や定期更新を呼びかけているケースもあります。そういった事業者やサービスを利用することで、情報の漏洩防止に繋がります。

不正ログイン対策を行うことでリスク回避を

冒頭でもお伝えしましたが、不正ログインの手口は年々進化しており、被害も増えつつあります。

油断せず、この記事でご紹介した

  1. 強固なパスワードの設定と流出時のパスワード更新
  2. OSやアプリケーション、セキュリティソフトなどの最新化
  3. 安易に情報の開示を行わない
  4. 不正ログイン対策を行っている事業者を利用する

といった対策を取り入れ、被害に遭わない状況をつくりましょう。

なお、事業者向けの不正ログイン・不正アクセス検知のサービスについて詳細を知りたい方はこちらのバナーから御覧ください。

\10万円でトライアルも受付中!/
トライアルのお申込はこちら

ピックアップ記事

  1. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について 
  2. クレジットカードにセキュリティコード(SC)がある理由を解説
  3. 不正検知システムとは?「クレジットカード等の決済前に危険性判断する」仕組みや導入…
  4. 不正アクセスを検知する「不正検知システム」とは?
  5. 【保存版】企業ができるサイバー攻撃への対策

関連記事

  1. Business, Technology, Internet and network concept. Business man working on the tablet of the future, select on the virtual display: Access control

    不正アクセス

    リスクベース認証とは?仕組みやメリット・デメリットをまとめて解説!

    「リスクベース認証とは何か知りたい」「リスクベース認証の導入メリッ…

  2. 不正アクセス

    O-MOTION 講演レポート(Security Days 2020)#001 〜あなたの会社も狙…

    最新のセキュリティをテーマにしたカンファレンスとして定評のある「Sec…

  3. 不正アクセス

    不正アクセスへの対策を。被害内容、発生後の対応、不正アクセス禁止法について

    EC向けに国内導入サイト数No.1の不正検知システムを提供するかっこ株…

  4. 不正アクセス

    不正アクセスを検知する「不正検知システム」とは?

    一度発生すると大きな被害が予想される不正アクセス。2020年だけで…

  5. 不正アクセス

    O-MOTION 講演レポート(Security Days 2020)#003 〜あなたの会社も狙わ…

    最新のセキュリティをテーマにしたカンファレンスとして定評のある「Sec…

  6. 不正アクセス

    生体認証だけでは不正アクセスは防げない?決して完璧ではない理由

    テクノロジーの発達により、本人確認の手段は多様化しています。比…

おすすめ記事

  1. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解…
  2. eKYCとは?注目が集まる3つの理由や、メリット・デメリット…
  3. サイバー攻撃とは?効果的な対策・検知方法・種類を解説
  4. 【保存版】企業ができるサイバー攻撃への対策
  5. 不正アクセスを検知する「不正検知システム」とは?
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. Omiai 不正アクセス

    ニュース・業界動向

    【不正アクセス対策】マッチングアプリ「Omiai」の個人情報漏えいは防げたのか?…
  2. Business, Technology, Internet and network concept. Business man working on the tablet of the future, select on the virtual display: Access control

    不正アクセス

    リスクベース認証とは?仕組みやメリット・デメリットをまとめて解説!
  3. データ&レポート

    不正被害額は21%増に。かっこ株式会社による調査データを公開
  4. Two-factor authentication (2FA) and fingerprint touch identification security concept. User with digital tablet and smart phone and two-factor authentication security process, flatlay design.

    不正アクセス

    二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!
  5. 不正アクセス

    「PR TIMES」不正アクセス被害による”発表前プレスリリース情報…
PAGE TOP