不正アクセス

  •  PR 

なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について

窃取した情報を使用し、第三者が本人になりかわる「なりすまし」。

その内容はクレジットカードの利用や個人情報の閲覧など、多岐にわたります。

本記事では2021年に発生したなりすましによる不正アクセスとその被害事例の内容をまとめました。具体的な対策についても触れていますので、ぜひご一読ください。

なお、不正アクセスの種類やリスク詳細はこちらの記事もぜひご覧ください。

「なりすまし」とは?

なりすましとは、他人の名前を勝手に利用し、その人物に代わり第三者とコミュニケーションを取ったり、掲示板やSNSなどに投稿するといった行為を指します。

なりすまし行為自体は罪には問われませんが、なりすましをするに当たって以下のようなことをしてしまうと罪に問われてしまいます。

  • 不正にアカウントにアクセスする
  • なりすまして誹謗中傷などする
  • 他人になりすまし金銭を要求する

たとえば、SNSでのなりすましの場合

本人の名前を使い「犯罪を犯しました!」などの事実でない発言をしたり、「〇〇さんは裏で性格悪い」など第三者を誹謗中傷するなどしてしまうと、「名誉毀損罪」や「威力業務妨害罪」「傷害罪」などに問われる可能性が高いです。

また、メールでのなりすましの場合、以下のようにサービス提供元になりすまし、個人情報を騙し取るような行為は、「詐欺罪」などに当たります。

「〇〇銀行です。◯月◯日に不正アクセスがあり個人情報が流失してしまったため、お手数おかけしてしまい大変申し訳ありませんが、至急パスワードの変更を以下のリンクからお願いいたします。URL:〜〜〜〜」

このように、なりすまし自体に罪はなくとも、なりすましをすることによって迷惑や被害、不利益になることをしてしまうと結果的に罪に問われてしまいます。

サイトなどでなりすましを防止するには、不正検知システムを導入するのが最適です。

弊社、かっこが提供している不正検知システム「O-MOTION」では、なりすましなどによる不正アクセス対策が可能です。怪しいログインにのみ2要素認証を行うため、正常なログイン時にはユーザーの負担にならないシステムになっています。

「O-MOTION」の詳細については以下をご参考ください。

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

2021年に発生したなりすましによる不正アクセスとその被害事例

ここからは実際に「なりすまし」から被害が出た事例について紹介していきたいと思います。

今回紹介する事例は以下の3つです。

  • 国立研究開発法人 海洋研究開発機構
  • 愛知県あいちトリエンナーレ実行委員会
  • 株式会社マイナビ

一見なりすましというと、SNSなど個人の被害が多いと思う方もいらっしゃるかもしれませんが、企業なども大きな被害に遭っています。

それぞれ詳しく見ていきましょう。

【事例1】国立研究開発法人 海洋研究開発機構

最初に紹介する事例は、国立研究開発法人の研究所の事例になります。

この事例では、職員になりすましシステムへ不正アクセスされたことで、職員の氏名やメールアドレス、パスワードなどの個人情報がおよそ1,947件流出してしまいました。

【事例2】愛知県あいちトリエンナーレ実行委員会

2つ目は、愛知県のあいちトリエンナーレ実行委員会という愛知県で実施されている国際芸術祭を実行している委員会が被害に遭った事例になります。

被害内容は、委員会が管理しているメールニュース配信システムに不正アクセスされ、登録者になりすましメールが送信されるといったものでした。送信されたメールは金銭を要求する悪質な脅迫メールだったことがわかっています。

【事例3】株式会社マイナビ

最後は、株式会社マイナビのなりすまし被害の事例です。
被害内容は、「マイナビ転職」へのなりすましによる不正ログインが確認されたとのこと。

幸い、個人情報の流出や不正流用の被害は出ておらず、大きな被害には繋がっていないとのことです。すでに再発防止策が取られており、警察など公的機関への報告も済んでいます。

このように企業などでもなりすましの被害は多々あります。実際なりすましを含む不正アクセスの被害は一般企業が圧倒的に多いことが総務省の調査でもわかっています。

なりすましが引き起こす情報流出による炎上や風評被害に備えて、事業者さまは以下からお役立ち資料をぜひダウンロードして参考にしてください。

炎上・風評被害対策についての無料お役立ち資料はこちら

なりすましによる不正アクセスはどのような手口で行われるのか

ここまで実際の被害事例を紹介しましたが、一体どのような手口が使われているのか確認していきましょう。

なりすましによる不正アクセスには主に以下の3つの手口が使われます。

  1. フィッシング
  2. リスト攻撃
  3. 総当たり攻撃

1つずつ詳しく解説していきます。

1.フィッシング

不正アクセスには「フィッシング」といった手口が用いられることがあります。フィッシングとは、ウェブ上で行われる個人情報を引き抜くための手口の一つです。

フィッシングのなかでもよくあるのが、公式サイトにそっくりの偽サイトにログインIDとパスワードを入力させ個人情報を抜き取るといった方法になります。

偽サイトなので入力した後はエラーとなりますが、エラー後に表示される画面が公式サイトとなっているケースもあります。「入力を間違えたから、エラーになったのかな?」と思うことはあっても、不正にデータを抜き取られたことには気づかないような巧妙な手口も。

また、フィッシングメールから「キーロガー」というキーボードの入力履歴を記録するソフトウェアを利用され個人情報を抜き取られるといった被害もあります。

2.リスト攻撃

2つ目にあげれる手口として「リスト攻撃」というものがあげられます。

リスト攻撃とは、何かしらの方法で手に入れたパスワード情報を他サイトに入力し不正アクセスを試みる手口です。

たとえば、Aサイトで利用しているパスワードをBサイト、Cサイトにも入力しログインを試みるといった手口になります。ログインされてしまうとさらなる個人情報の漏洩に繋がってしまい大きな被害に繋がってしまうことも。

なお不正アクセスに使われるメールアドレスやパスワードは、ダークウェブ(違法性の高い情報や物品が取引されているWebサイト)によって入手しやすい状況です。

そのため、不正アクセスされることを前提とした対策が必要となってくるでしょう。

3.総当たり攻撃

最後に紹介する手口は「総当たり攻撃」です。総当たり攻撃は「ブルートフォースアタック」とも呼ばれています。

総当たり攻撃とは、その名の通りログインIDに対して考えられるパスワードを全て試みる手口です。

1から順に入力するとなると途方もない時間がかかってしまいそうに思えますが、入力する桁数や使用する文字が限られている場合はさほど時間がかからず突破されてしまうことがわかっています。

さらにさきほどのダークウェブなどでIDやパスワードのどちらかだけでも特定されてしまうと、不正ログインまでに必要な時間がぐっと減り、不正にログインされやすくなってしまいます。

また、不正アクセスの多様化する手口や検知手法についてはこちらの記事も是非ご覧ください。

なりすましの不正アクセスはどんな対策をすれば防止できる?

では、被害を防ぐための具体的な方法はどういったものが挙げられるのでしょうか。

ここでは、

  1. ブラックリスト管理(監視)
  2. 多要素認証
  3. 人力でのモニタリング
  4. 不正検知システムの導入

の4つに分けてご紹介していきます。

ブラックリスト管理(監視)

まず挙げられるのはIPアドレスのブラックリスト管理(監視)です。

IPアドレスとはインターネットに接続された機器を識別するための番号です。

パケットを送受信する機器を判別するために使われているのですが、機器ごとに単一の番号が割り当てられるのでブラックリスト管理が可能です。

しかしIPアドレスは変更・偽装ができるため、ブラックリスト管理(監視)の効果は短期間・限定的と言えます。

多要素認証

次に挙げられるのは多要素認証です。

多要素認証とは決済やログインをする際、ユーザーに対し複数の異なる要素を要求する認証方式です。

パスワードの入力の他に、SMSで送られるワンタムパスワードの入力や、秘密の質問への回答でユーザーを認証し、セキュリティを高めます。

(補足ですが、2種類の場合は二要素認証と呼ぶ場合もあります)

この多要素認証はセキュリティ精度は高いものの、ユーザーへの負担は大きいです。

そのため全ユーザーに強制しづらいという特徴があります。

人力でのモニタリング

3つ目として、人力でのモニタリングも1つの方法も挙げられます。

しかし、全ての決済やログインをモニタリングするコストは膨大ですし、監視できる時間帯も限られます。

これらの対策では精度や負荷の面から物足りない点は多いものの、何かしら網を設けて不正アクセスを防止する必要があり、運用されてきたという実態があります。

不正検知システムの導入

近年、抜本的な対策として重要視されているのが、大量のアクセスでもリアルタイム・高精度に不正アクセスを検知できるシステム(不正検知システム)です。

これらは様々な企業で開発され、金融機関等から導入が進み始めています。

不正検知システムとは

  • 取引データ
  • 検知サービスそれぞれのノウハウ

などの情報から、危険性を判断します。

弊社が提供している「O-MOTION」も、不正検知システムの一つです。

O-MOTIONは、独自のデバイス情報やユーザーの操作、アクセス時間、IPアドレスなどから不正アクセスか判別することが可能です。対策したいページへJavaScriptタグの埋め込みをするだけで導入できるため簡単にご利用いただけます。

O-MOTIONの詳しい機能については、以下をご確認ください!

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

不正利用の対策として注目される不正検知システム

なりすましを完全に防ぐことは企業側には不可能です。企業側でセキュリティを強化しても

  • フィッシング
  • リスト攻撃
  • 総当たり攻撃
  • ダークウェブからの購入

などで個人情報が漏れてしまっている場合は、防ぎようがありません。

そのため、不正アクセスされた場合にログインを防ぐ対策を取ることをおすすめします。

たとえば、先ほど紹介した不正検知システム「O-MOTION」なら、不正アクセスが行われても以下のように検知できます。

先ほどご紹介したリスト攻撃、総当たり攻撃なども、キーボードやマウスの動きなどから機械的なアクセスであることを検知できます。また、アクセスしている端末情報やIPアドレス、配送先の情報なども考慮し、不正者かどうか判断できます。

なりすましを始めとする不正アクセスによる被害の対策を行いたい方は、ぜひO-MOTIONの導入を検討してみてはいかがでしょうか。

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

ピックアップ記事

  1. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  2. 不正アクセスを検知する「不正検知システム」とは?
  3. 不正アクセスとは?主な4つの手口と対策、被害事例を紹介
  4. クレジットマスターの手口や被害とは?不正利用を防ぐための対策3選
  5. 不正検知サービスは無料で利用できる?選ぶポイントやコストを抑えて導入できるサービ…

関連記事

  1. サイバー攻撃とは?

    不正アクセス

    サイバー攻撃とは?26個の手口と未然に防ぐ対策を徹底解説【事例あり】

    「サイバー攻撃はどのような手口で行われるの?」「サイバー攻撃を未然…

  2. 不正アクセス

    WAFとは?仕組みや導入すべき理由をセキュリティ初心者にもわかりやすく解説

    「WAFを導入する必要性は何?」「WAFはどうやって不正アクセスを…

  3. 不正検知・ノウハウ

    フリマアプリ悪用で広がる不正注文!最新の手口と6つの対策

    「フリマアプリを悪用する手口や対策を知りたい」「フリマアプリの悪用…

  4. 不正検知・ノウハウ

    せどりが違法になる5つのケースとは?転売との違いや事業者とトラブルになる例を解説

    インターネットの発展により、誰もがいつでも商品の売買ができるようになっ…

  5. 不正アクセス

    運営サイトを悪質なハッキングから守るには?事例と対策を徹底解説

    「うちの運営サイトでも、ハッキングは起こりうる?」「運営しているサ…

  6. 不正検知・ノウハウ

    定期購入の受取拒否や無視は可能?トラブルを避ける方法や対処法を解説

    定期購入に関するトラブルや相談が後を経ちません。消費者庁や政府広報も、…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 3Dセキュア

    3Dセキュアとは?メリットや利用方法を解説
  2. EC構築・ノウハウ

    注文管理とは?システム導入のメリットや不正な注文を防ぐ方法を紹介
  3. コマキ楽器 不正アクセス

    ニュース・業界動向

    コマキ楽器でクレジットカードの情報漏洩発生|不正アクセス対策を徹底解説
  4. ニュース・業界動向

    約3200回の無断キャンセルを繰り返しポイントを不正入手。1億1500万円の被害…
  5. EC構築・ノウハウ

    楽天市場でのECサイト開設がおすすめな4つの理由!楽天で出店する方法や成功事例も…
PAGE TOP