トップ > Webセキュリティ > コロナ禍で増幅される不正ログイン問題、今後ターゲットとされる業界は?

コロナ禍で増幅される不正ログイン問題、今後ターゲットとされる業界は?

Webセキュリティ セキュリティ動向 セキュリティインサイト

 

 

不正ログイン対策


新型コロナウイルスによる社会不安や、ネットワークを通じて提供される各種サービスの拡大などで巣ごもり需要が増加しているため、攻撃者にとっては有利な状況が続いており、個人情報や企業の機密情報の窃取行為が増加しています。

 

特に課題とされているセキュリティ対策は、昨年から顕著な伸びを見せている『不正ログイン』問題です。今回は、2020年にアナウンスされたサイバー攻撃の傾向から、その背景や狙いなどを読み取って、こういった事態を2021年に改善するための重点対策について考察します。

 

不正アクセスとは

不正アクセスとは、正規に利用する権限を与えられていないコンピューターに対して、不正に接続しようとすること、また実際にそのコンピューターに侵入したり、利用したりする行為を指します。

 

日本では、1999年に「不正アクセス行為の禁止等に関する法律(通称:不正アクセス禁止法)」が成立しました。この法律では、「侵入行為」「なりすまし行為」「持ち主の許可を得ずにIDおよびパスワードを第三者に提供する行為」を不正アクセスであると定義しています。また、これには「3年以下の懲役又は100万円以下の罰金」という罰則もあります。つまり、不正アクセスは処罰される可能性のある犯罪行為ということです。

 

総務省経済産業省及び警察庁は3月4日、「不正アクセス行為の禁止等に関する法律」(平成11年法律第128号)第10条第1項の規定に基づき、「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を公表しました。

 

公表された資料によりますと、2020年における不正アクセス禁止法違反事件の認知・検挙状況等については、不正アクセスの認知件数は2,806件で、前年(2,960件)からは154件減少しております。不正アクセス行為を受けた管理者では、引き続き「一般企業」が2,703件で突出して多く、次いで「行政機関等」が84件となっています。

 

手口では、「フィッシングサイトにより入手したもの」が172件で29.9%を占めており、「言葉巧みに利用者から聞き出した又はのぞき見たもの」が115件(20.0%)、「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が99件(17.2%)と続いています。動機では、「不正に経済的利益を得るため」が274件(46.8%)で最多となており、「顧客データの収集等情報を不正に入手するため」が138件(23.6%)、「好奇心を満たすため」が78件(13.3%)という順番となっています。

 

国内における不正ログインによる被害が急上昇

国内で発生した、複数のWebサイトにおいて使い回されているIDやパスワードなどによる不正ログイン(パスワードリスト型攻撃)の被害状況について、2020年に公表されている情報から集計してみたところ24件となっており、2019年の17件に対して約1.4倍増の件数となっています。

 

2019年から引き続き業種別における被害状況で最も多くなっているのが、小売りとEコマースとなっています。金融サービス、動画メディア、SNS、オンラインゲームといった業種においても被害が増加している傾向にあって、狙われている業種の幅が広がっている状況にあります。

 

金融サービスにおいては、カードや決済サービス、証券会社などで不正な出金機能や送金機能を悪用した攻撃が行われて、甚大な被害を与えた事件が続々と発生しています。その一方で、コロナ禍による巣ごもり需要が高まっている傾向にある、動画メディアやSNS、オンラインゲームなどで不正ログインに起因して発生した被害が報告されていることも2020年の特徴となっています。

 

娯楽系コンテンツにおける不正なアカウントを転売する行為が世界で活性化してきている状況にあります。例えば海外においては、窃取された動画ストリーミングサービスのアカウントと、不正に取得されたポイント残高の溜まっているフードデリバリーサービスのアカウントが組み合わされた『週末シアターパック』と称するものが闇市場で販売されています。

 

日本国内を対象としてそのまま流通するとは考えられません。しかし、不正なコンテンツの視聴やゲームのチート(不正行為)に利用する目的で、bot(自動実行プログラム)を使用して不正ログインに関する情報を得ようとする行為が、2021年も継続されていくことは間違いありません。アカウントに紐づけられているクレジットカードやプリペイドカードによって登録されている残高を不正に利用されてしまう危険性があります。

 

「交換することが可能である共通ポイント」が狙われる

日本のエネルギー業界では、2019年後半に電力会社で発生した2件の不正ログイン被害が、他の電力会社の顧客向けサービスにも拡大しました。これは、アカウントに紐づけられていた他の共通ポイントサービスと交換可能なリワーズポイントを狙った同種の攻撃となります。世界的視野においても、リワーズポイントが付加されているアカウントは闇市場における一般的な商品となっています。

 

日本ではアカウントに溜まっているポイントを他の共通ポイントに交換して、不正購買や現金化しようと試みる手口が多くなっています。2020年は電力会社の他に量販店や百貨店などの小売業、鉄道会社などでポイントを窃取されてしまった被害が報告されています。犯罪者にとっては、現金化が容易なポイントは格好の標的となっています。利益が出ることによって同業種で同様な手口を繰り返す傾向がありますので、すでにこれらの被害が発生している業界では重点的な対策が必要であるといえます。

 

特に旅客業界や旅行業界などにおいては、世界的に移動を自粛するといった影響下であってもビジネスを継続していくために顧客向けサービスの一環として、ポイントを付与するといったキャンペーンが打ち出されていますが、セキュリティに割く予算については削減せざるを得ない状況に置かれているのです。

 

しかし犯罪者はずる賢いため、その「すき」を狙っていますので、実際に不正ログインbot対策をやむなく中止したサービスが、間を置かずに被害に遭ってしまうケースも出てきています。苦境の中でEコマース戦略に対して活路を見いだそうとしている業界においては、デジタルビジネスへのダメージをしっかりと考慮した、セキュリティへのハイレベルな投資判断することが企業の経営陣には求められてくる局面が増加する傾向にあることが予想されています。

 

フィッシングへの布石となる、ビジネスアプリに対する攻撃

2020年の国内企業に対しての不正ログインの内容で気になったことが、12月に報告されたプロジェクト管理やコラボレーションなどをする、ビジネスアプリケーションに対する10万回にも及ぶ不正ログインの試行が測定、記録された出来事です。

 

一般的にbotによるパスワードリスト型攻撃は、発信元偽装のためのProxyサーバのレンタル費などによって攻撃側にも一定のコストがかかってしまいます。このため不正送金や不正購買、共通ポイント窃取などといった現金化の手順を想像することが比較的容易であるサービスが標的になる傾向がありましたが、直接利益を得られないビジネス系アプリケーションが狙われたことは注目に値することになります。

 

この他にも、システムインテグレーターの法人パートナー用会員サイトのログイン情報が漏洩されたことが報告されるなど、2020年後半頃から従業員や取引先の個人情報を狙った被害報告が国内でも目立つようになってきています。

 

ビジネス向けアプリのアカウント情報には、マルウェア「Emotet」で2020年頃から注目されているなりすましメールで利用できるメールアドレスや氏名、過去のコミュニケーション履歴などの情報が含まれているのです。つまり、不当に企業内への侵入を意図するための「なりすましメール」に対する元のデータを得る手段として、SaaSベースのビジネスアプリに対する不正なログインが試行されていることに対して、じっくりと考えなくてはならない段階に入っているといえます。

 

不正ログインに対して重点的に考慮するポイントとは

不正ログインは、シンプルなものですが強力な攻撃手法でもあるため、窃取された情報は犯罪者間の売買を通じてあらゆる攻撃の起点になり得るのです。不正ログインを許してしまったアカウントに含まれているメールアドレスや電話番号は、現在社会問題となっているフィッシングのなかでも、特にSMSを悪用したもの(スミッシング)に流用されているのです。

 

消費者向けのサービスを提供しているWebサイトでは、リスクを判断するの対象はサービス単体ではなく、グループ企業が持つ複数のサービスへの攻撃を考慮してリスクの再検討を進めていくべきです。攻撃が測定されて記録を始めている法人向けのSaaS型アプリにおいても、自動化されている不正ログインへの対策について警戒レベルを上げていく必要があります。対策として挙げられることは、多要素認証や不正ログインbot検知といった基本的な施策に加えて、スマートフォンアプリのアクセスを受けるAPI認証サーバの保護も忘れないようにしなければなりません。

 

利用しているWebサイトのパスワードは自動生成された長い文字列のパスワードに変更して、これまであまり使用したことのないようなパスワードマネージャーで管理することをはめることが、現在大きくデジタルに対して舵を切っている企業におけるビジネス戦略とそれを利用している「新しい日常」の生活を、急拡大してきている不正ログインの脅威から守り抜くことが可能であるか否かは、セキュリティに対する企業と消費者の意識改革が非常に重要となってきているのです。

 

また、企業側では、Webサイトを守る基本中の基本ともいえる「WAFWebアプリケーションファイアウォール)を導入することもおすすめです。Webアプリケーションに潜んでいる脆弱性を悪用した攻撃からWebサイトほ保護できるため、自社サイトへのセキュリティを徹底にすることができます。

 

さいごに

日常においてインターネットを利用しているのであれば「不正アクセス」のことを、しっかりとだれもが皆、理解しておかなければならないといっても過言ではありません。最近頻発している傾向にある、不正アクセスの手段についてを正しく捉えておくこと、防止するための対策について考慮しておくこと、被害に直面してしまった場合においても取るべき対策を忘却することなく継続的に取り組んでいく必要性があるのです。

 

企業向け不正ログイン対策、インテリジェント型WAFWAPPLES」の詳細はこちら


 

関連記事
  • API利用に潜む脅威から守る、WAAPの重要性とは API利用に潜む脅威から守る、WAAPの重要性とは はてなブックマーク - API利用に潜む脅威から守る、WAAPの重要性とは
    近年、クラウド化やAPIの利用は急激に伸びています。しかし新しい技術が普及するということは、それだけ新しいセキュリティリスクも増えているということなのです。そこで今回は、API利用時におけるセキュリティ対策、「WAAP」についてご紹介していきます。 APIに潜むセキュリティリスク APIの普及は利便性を向上させてく…
  • 犯罪のビジネス化(アンダーグラウンドサービス)とは?企業が注意すべきポイントを解説 犯罪のビジネス化(アンダーグラウンドサービス)とは?企業が注意すべきポイントを解説 はてなブックマーク - 犯罪のビジネス化(アンダーグラウンドサービス)とは?企業が注意すべきポイントを解説
    現在、「犯罪のビジネス化」「アンダーグラウンドサービス」といった言葉を聞いたことがあるでしょうか?世界的に問題視されている状況を指す言葉です。近年サイバー攻撃は、愉快犯による攻撃や嫌がらせではなく、金銭的利益を得るためのビジネスとして発展しています。 本記事では、犯罪のビジネス化の概要と背景、企業が…
  • 企業ホームページで必ずやるべき、初心者でもできるセキュリティ対策 企業ホームページで必ずやるべき、初心者でもできるセキュリティ対策 はてなブックマーク - 企業ホームページで必ずやるべき、初心者でもできるセキュリティ対策
    日々熱を増していくサイバー攻撃に対して、企業規模を問わず「セキュリティ対策」の必要性が叫ばれています。今回は「中小企業のホームページ」に焦点を当て、セキュリティ初心者のWeb担当者でも実行可能なセキュリティ対策を紹介していきたいと思います。 中小企業のホームページでも、セキュリティ対策をすべき? この記…
  • Webサイトに潜む脆弱性一覧、サイバー攻撃手法と対策まとめ Webサイトに潜む脆弱性一覧、サイバー攻撃手法と対策まとめ はてなブックマーク - Webサイトに潜む脆弱性一覧、サイバー攻撃手法と対策まとめ
    企業や官公庁のホームページあるいはネットショップやSNSなど、情報化社会の現代では生活のあらゆるシーンでWebサイト/Webアプリケーションが利用されており、今では私たちが生きていくうえで欠かせない存在といっても過言ではありません。一方で普段あたりまえに利用しているWebの技術には、想像以上に重大な「脆弱性」が…

PentaSecurity


コメントを書く