ECオンラインカンファレンス2024〜「未来のゲームチェンジャーに」ECの未来を共に考え、変えていく〜

不正アクセス

  •  PR 

不正アクセスの手口とは?多様化する不正アクセスの発生状況や手口と検知対策も併せて解説

WebメディアやTVのニュースでも取り上げられている「不正アクセス」。

国家公安委員会、総務省、経済産業省の調査によると、その件数は年々増加中。
国内導入数No.1の不正検知システムを提供するかっこ株式会社も、先日行われた講演「O-MOTION Securitydays」の中で「2015年から2019年までの4年間で不正アクセスの被害は11倍にも増加している」と指摘し、警鐘を鳴らしました。(レポートはこちら

こうした状況の中で、被害を食い止めるためには、少しでも早い不正アクセス対策を立てる必要があります。
そこで、この記事では不正アクセスの現状と手口を紹介。手口を理解することで、不正アクセスへの理解を深めていただきたいと思います。

なお、不正アクセスの種類やリスク詳細はこちらの記事もぜひご覧ください。

不正アクセスの現状

「不正アクセス」とは権限を持たない人物が第三者の情報やサーバーなどにアクセスすることです。

ここで指す第三者の情報やサーバーは多岐に渡り、身近なものでは通販サイトのマイページやクレジットカードの会員サイト、スマートフォンなどが挙げられます。
不正者はこれらにアクセスし、個人情報を盗用したり、情報そのものを売買したりします。第三者が個人になりかわる「なりすまし」も不正アクセスによる被害の一種です。

まずは不正アクセスの現状を理解していくために、国家公安委員会、総務省、経済産業省が2020年3月5日に発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を見てみましょう。

参考:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況│総務省

これを見ると、2019年における不正アクセス行為の認知件数は2960件。2018年の件数は1474件なので、99.2%も増加したことになります。これは、過去5年間で最多の件数です。
また、この発表には不正アクセス後に行われた行為別の内訳も記載されており、内容と件数は以下の通りです。

インターネットバンキングでの不正送金など・・・前年から約5.5倍増加、最多の1808件
インターネットショッピングでの不正購入・・・376件
メールの盗み見などの情報の不正入手・・・329件

不正送金や不正購入など、事業者にとって防ぎたい被害が多発していますね。
このような被害はどういった手口で行われているのでしょうか。次項から不正アクセスの具体的な手口を解説します。

不正アクセスの主な手口

不正アクセスの主な手口として挙げられるのは

  1. システムの脆弱性を狙った不正アクセス
  2. ウイルスを利用した不正アクセス
  3. なりすましによる不正アクセス
  4. フィッシングを使った不正アクセス

の4つです。

1.システムの脆弱性を狙った不正アクセス

事業者は業務を行う中で、様々なソフトやサーバーなどのシステムを使用します。
不正者はそのシステムの構造や内容を精査し、脆弱性を狙って不正アクセスを実行。個人情報を盗取したり、システムを改ざんしたりします。

システムの脆弱性を抑えるにはOSやアプリケーション、セキュリティソフトなどの更新を徹底し、常に最新のセキュリティを整えることが必要です。

補足ですが、ニュースなどで「フォームジャッキング」という不正被害を耳にした方も多いかと思います。
フォームジャッキングは情報を盗むためのコードをECサイトなどの注文情報入力フォームに仕掛け、決済ページや購入ページからクレジットカード情報を盗みだす手法のことです。
先ほどお伝えした”不正アクセスの後、システムを改ざんするケース”はこのフォームジャッキングにあたります。

フォームジャッキングについてはこちらの関連記事でより詳しく解説しています。

2.ウイルスを利用した不正アクセス

事業者や個人にウイルスを送り付け、不正者の侵入経路を確保する手口もあります。

ウイルスに感染させる方法は様々です。メールなどにウイルスの感染源となるURLを記載し、受信者がそれを開いた場合に自動感染させるものや、添付ファイルを開くことで作用するものもあります。

こういったウイルスの送信は特定の相手をターゲットにする場合や、不特定多数に対して一斉に仕掛けるケースもあります。
不審な送信者からのメールに注意を配り、URLや添付ファイルを安易に開かないよう意識しましょう。

3.なりすましによる不正アクセス

ユーザーの個人情報がすでに漏洩してしまっていた場合、それを第三者が利用し「なりすまし」という形で不正アクセスされてしまう可能性があります。

第三者によるアクセスでも、正規のユーザーIDとパスワードを使われた場合、不正なアクセスや商品購入に気づくのは困難です。
そこで、SMSで送られるワンタイムパスワードの入力や、秘密の質問への回答でのユーザー認証、不正検知システムの導入などで対策をとるのが現実的です。

なりすましに関してはこちらの記事でも解説しています。

また、漏洩した情報が、ダークウェブ上の違法取引サイトなどで売買される可能性も無視できません。ユーザーが複数のサイトで同じIDやパスワードを設定していた場合、さらに被害は拡大します。

ダークウェブについて詳しく知りたい方は以下の記事を参考にしてください。

4.フィッシングを使った不正アクセス

知名度の高い企業を装ってフェイクサイトを作り、そこに個人情報を入力させるフィッシングという手口もあります。
この手口の中には、ユーザーが個人情報を自ら入力するよう促すだけでなく、パソコンやスマートフォンにウイルスをダウンロードさせるものもあります。

事業者としてできる対応は、ユーザーにサービスのブックマークや公式アプリのダウンロードを呼びかけ、フィッシングサイトにアクセスする機会を減らすこと。
また、盗取された情報による不正アクセスに気づき、被害を食い止めることが挙げられます。

被害が発生する前に不正アクセスの対策を

この記事では不正アクセスの手口に注目して詳しくまとめました。

その中で軽く触れましたが、ユーザー側でできる対策としては

  1. 強固なパスワードの設定と流出時のパスワード更新
  2. OSやアプリケーション、セキュリティソフトなどの最新化
  3. 不正ログイン対策を行っている事業者の利用
  4. ログイン履歴やクレジットカードの利用明細などの定期確認

などが挙げられます。
事業者はこういった知識をユーザーに伝え、注意を促すのも1つの方法です。

また事業者側では、

  1. パーミッション(ディレクトリやファイルへのアクセス権限)の設定
  2. ファイアウォールや侵入防止システム(IPS)の導入
  3. 不正検知システムの導入

といった対策が可能です。

どれだけのコストをかけて対策すべきか、実害の発生前では判断しにくいケースもあるかもしれません。しかし、実際に被害が発生してしまうとその後の対応にも追われてしまいますし、ユーザーとの信頼関係にも悪影響を及ぼしかねません。

不正アクセスへの対策は、被害が発生する前に可能な限り行いましょう。不正対策をしているという事実が不正者を遠ざけることにも繋がります。
以下の記事では先ほど挙げた方法や、現実的に導入しやすい対策について解説しています。ぜひ併せてご覧ください。

補足ですが、冒頭でご紹介した国内導入数No.1の実績を持つかっこ株式会社では、不正検知システム導入に関する無料相談を実施しています。

不正検知システムも様々ですが、独自ノウハウや蓄積データを用いて不審な点がないかリアルタイムで判断でき、不正アクセスの手口としてご紹介した第三者によるなりすましにも対応可能なサービスもあります。

不正アクセスは被害発生前に対策をするのが理想的です。導入を検討されている方はぜひこちらのページもご一読ください。

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

ピックアップ記事

  1. 転売屋対策に効果のある13個の方法を紹介!転売が引き起こすリスクとは?
  2. 不正アクセスとは?主な4つの手口と対策、被害事例を紹介
  3. 【後払い未払い発生時の対策】督促手順や支払う意思がない購入者への対応について
  4. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5つを解説
  5. ECサイトでの情報漏洩対策とは?どんなセキュリティ強化をするべきか

関連記事

  1. ファイアウォールとは

    不正アクセス

    【3分で分かる】ファイアウォールとは?3つの種類と機能、IDS/IPS・WAFとの関係も解説

    「ファイアウォールって何?」「ファイアウォールにはどんな種類がある…

  2. 不正アクセス

    なぜ個人情報漏洩は起こる?最新の流出原因TOP4と被害事例

    「最近、情報漏洩のニュースをよく聞くなあ」「利用したいwebサービ…

  3. 不正アクセス

    消費者向け11の不正ログイン対策と事業者の防止策

    不正ログインが増加していると聞いても何をしたらいいかわからない…

  4. 不正アクセス

    増え続ける銀行システムへの不正アクセスを防ぐには?対策6つを解説

    社会のインフラである銀行をはじめ、不正アクセスをされた際、直接的かつ大…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. データ&レポート

    【2024年最新】クレジットカードの不正利用被害は過去最高額!クレカ不正の発生状…
  2. 不正アクセス

    個人情報保護委員会に報告する方法とは?情報漏洩を防ぐ対策も紹介
  3. データ&レポート

    キャッシュレスセキュリティレポート|かっこ&リンク
  4. 不正検知・ノウハウ

    ネット通販(EC)における不正注文の原因や手口|事業者ができる不正注文対策・不正…
  5. 不正アクセス

    個人情報保護法のガイドラインを基本項目から最新改正まで分かりやすく解説!
PAGE TOP