2020年3月5日、警察庁、総務省、経済産業省は2019年における不正アクセス行為の認知件数は2960件に及ぶと発表。2018年の件数は1474件だったのに対し、99.2%もの増加となりました。(参考:総務省)
今回は、不正アクセスの中でも被害件数の多い「不正ログイン」について採り上げます。
その手口はどういったものがあるのでしょうか?
私達ユーザーができる対策方法はあるのでしょうか?
目次
不正ログインとは
「不正ログイン」とは悪意ある第三者が他人のログイン情報を不正に入手し、なりすましてアクセスする行為のことです。
通販サイトやネットバンキング、SNS、スマートフォンなど様々なものがターゲットになります。
不正ログインをする目的
不正者が不正ログインをする目的は
- 金銭やデータ、個人情報などを窃取すること
- 別の不正を行う際の媒体として利用すること
の2点が挙げられます。
金銭やデータ、個人情報などを窃取すること
1つ目は金銭やデータ、個人情報などの窃取。
例えば、ネットバンキングであれば不正に送金されてしまう可能性があります。通販サイトであればポイントを不正に利用したり、登録されているクレジットカード番号など決済に必要な情報を盗み取ったり、様々な被害が想定できます。
また、住所や名前などの個人情報やクレジットカード情報は、通常の方法ではアクセスできない非合法な取引サイト(ダークウェブ)で売買されるケースもあります。
具体的な事例はこちらの記事でも解説しています。
別の不正を行う際の媒体として利用すること
2つ目は別の不正を行う際の媒体として利用することです。
例えば、日本に訪れる海外からの旅行者を狙って不正な旅行商品の宣伝を行い、料金を騙しとる「不正トラベル」という手口があります。
この不正トラベルは旅行者から宿泊等の旅行の申込を受け付け、依頼された旅行の手配を盗用したクレジットカード情報などを使用して行います。カードの名義人やクレジットカード会社が情報窃取に気付かなければ決済は完了。不正者はそのまま旅行者に予約情報を伝達し、代金を受け取ります。
仮に名義人やクレジットカード会社が情報窃取に気付きキャンセルしたとしても、不正者は旅行者から代金をだまし取ることができてしまいます。
また、第三者の情報で決済を行うことで不正者まで捜査の手が及びにくくなるという厄介な特徴も。
不正にログインされ、情報が盗用された場合、間接的にではありますが、無自覚なまま不正行為に加担してしまっていた……ということもあり得えます。
不正トラベルについてより詳しく知りたいという方はこちらの記事もご覧ください。
不正ログインの具体的な手口
では不正ログインはどのような手口で行われるのでしょうか。
代表的なものは以下の4つです。
- パスワードリスト攻撃
- 総当たり攻撃(ブルートフォースアタック)
- 辞書アタック
- フィッシング
「パスワードリスト攻撃」とは不正者が入手したID・パスワードのリストを用いて、不正ログインを試みるサイバー攻撃のこと。
仮に複数のサービスで同じID・パスワードを設定しているユーザーの情報が不正者の手に渡った場合、大きな被害を及ぼす可能性もあります。独立行政法人情報処理推進機構(IPA)が「情報セキュリティ10大脅威 2020」でも注意を呼びかけており、代表的な手口と言えるでしょう。
参考:情報セキュリティ10大脅威 2020│独立行政法人情報処理推進機構(IPA)
「総当たり攻撃(ブルートフォースアタック)」は考えられ得るID・パスワードの組合せを全て試す手口です。
パスワードリスト攻撃よりも強引な方法ではありますが、仮にIDとパスワードのどちらかだけでも特定されてしまうと不正ログインまでに必要な時間がぐっと減り、不正にログインされやすくなってしまいます。
「辞書アタック」とは人間が発想しやすい使用頻度の高いパスワードを優先的に試し、不正ログインを試みる攻撃です。
人名や誕生日など意味のある文字列をパスワードに設定している場合に成功しやすい手口です。
「フィッシング」とは公的機関や有名企業を装ってメールなどでユーザーに接触し、偽のWebサイトへ誘導した後、ID・パスワードや個人情報を入力させる手口です。
ユーザー自身に情報を開示させるため不正ログインに必要な情報特定に必要な時間が少ないのが特徴です。
次項からは、このような手口で行われる不正ログインに対し、私達ユーザーができる対策をご紹介します。
不正ログインの対策
私達ユーザーができる不正ログインの対策として、ぜひ心がけたいのが以下の4つです。
- 強固なパスワードの設定と流出時のパスワード更新
- OSやアプリケーション、セキュリティソフトなどの最新化
- 安易に情報の開示を行わない
- 不正ログイン対策を行っている事業者を利用する
まずは強固なパスワードの設定です。
人名や誕生日など意味のある文字列を避け複雑なものに設定すれば、総当たり攻撃や辞書アタックといった手口への対策となります。また万一、実際にパスワードを破られてアカウント乗っ取りにあった、サービス側から流出があったなどの事実があれば、パスワードを更新しましょう。なお、パスワードを単に定期的に更新する必要はなく、むしろ更新の手間から単純なパスワードを設定しがちになるなどの弊害が指摘されています。
また、お持ちのスマートフォンやパソコンの最新化は常に行いましょう。
OSやアプリケーション、セキュリティソフトなどをアップデートすることで、情報を抜き取ろうとするウイルス・マルウェアの感染防止に役立ちます。
フィッシング対策として、安易に情報の開示を行わないよう日頃から意識を高めることも大切。
個人情報を入力する際は正規のWebサイトかどうか確認し、定期的に利用するサービスであればブックマーク機能を使うのも効果的です。
サービス等を利用する前に、その事業者がしっかりとした不正ログイン対策を行っているか確認しておくことも重要なポイントです。
中には仮に不正者が盗取したID・パスワードを使ってログインしても、挙動から察知できるような不正検知システムを導入している事業者もいます。またユーザーに対し強固なパスワードの設定や定期更新を呼びかけているケースもあります。そういった事業者やサービスを利用することで、情報の漏洩防止に繋がります。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
不正ログイン対策を行うことでリスク回避を
冒頭でもお伝えしましたが、不正ログインの手口は年々進化しており、被害も増えつつあります。
油断せず、この記事でご紹介した
- 強固なパスワードの設定と流出時のパスワード更新
- OSやアプリケーション、セキュリティソフトなどの最新化
- 安易に情報の開示を行わない
- 不正ログイン対策を行っている事業者を利用する
といった対策を取り入れ、被害に遭わない状況をつくりましょう。
なお、事業者向けの不正ログイン・不正アクセス検知のサービスについて詳細を知りたい方はこちらのバナーから御覧ください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
