不正ログインとは | 対策のために知っておきたい攻撃方法・被害実態

不正ログインとその対策とは?インターネットサービスのアカウントへの不正アクセス被害が増加しています。セキュリティを確保した安全な認証を実現すべく、その攻撃方法や被害の実態を解説し、効果的な対策とおすすめセキュリティサービスを紹介します。
不正ログインとは | 対策のために知っておきたい攻撃方法・被害実態

不正ログインとは

SNSやECサイトなど、さまざまなインターネットサービスを利用する際、ログイン時によく使用するのがID/パスワード。これを悪意ある第三者によって不正取得され、当人になりすましてログインされるのが不正ログインです。この不正ログインによるアカウント乗っ取りで、身に覚えのない被害を被る人々が後を絶ちません。

この記事では、不正ログインの実態や手法、被害事例や対策方法を解説するとともに、おすすめのセキュリティサービスを紹介します。

不正ログインの実態

警察庁が発表している資料によれば、認知されている不正ログインの件数は、2014年の3,545件をピークに減少に転じており、2016年には1,840件となっています。

出典:警察庁 平成28年中におけるサイバー空間をめぐる脅威の情勢等について

これはインターネットバンキングに関連する不正送金事件が減少したことが主因であり、法人などのセキュリティ対策強化、ポリシーの強化などが背景にあるとみられています。

しかし、2014年以来の検挙件数、検挙人員、検挙時件数は、ともに年々じり高となっており、2016年には検挙人員、検挙時件数が過去最多を記録しているのがわかります。

出典:警察庁 平成28年中におけるサイバー空間をめぐる脅威の情勢等について

警察庁の調査は、あくまでも「認知件数」となっているため、認知されていない不正ログインも含めれば、その実態は増加傾向にある可能性が高いといえるでしょう。

インターネットバンキング被害が最多

不正ログインによる被害でもっとも多かったのは「インターネットバンキングでの不正送金」であり、1,840件中1,305件を占めていました。続いて多かったのは172件の「ECサイトでの不正購入」であり、オンラインゲーム、SNSなどの不正操作と続きます。

参考:警察庁 平成28年中におけるサイバー空間をめぐる脅威の情勢等について

いずれの被害も、攻撃者がユーザーに「なりすまして」不正行為を行っているのが共通点です。たとえば、友人になりすました攻撃者にギフトカードの代理購入を求められ、プリペイド番号を写真で送るよう指示されるという、LINEでの不正ログイン問題は記憶に新しいところでしょう。

また、直接の金銭被害であったLINE以外にも、不正ログインによってポイントを不正利用されるという、ニコニコポイントの事例もあります。

なぜ不正ログインが増えているのか

それでは、このような不正ログインはなぜ増えているのでしょうか。ひとつには、爆発的に普及したスマートフォンの存在が挙げられます。

場所を問わずインターネットにアクセスでき、セキュリティの甘いフリーWi-Fiに接続することも多いスマートフォンは、セキュリティに対するユーザーの意識がまだまだ低いといえます。これを狙ったサイバー攻撃は少なくないでしょう。

また、攻撃側のスキル高度化や集団化などで、手口が巧妙になっていること、情報化社会の進展によって、個人情報を含むデータの価値がますます高まっていることも要因だといえます。

不正ログインの攻撃方法

不正ログインは、インターネットサービスの正規ログイン画面にID/パスワードを入力することで行われます。では、このID/パスワードはどのように入手し、どのような手法で攻撃を仕掛けるのでしょうか。

ブルートフォースアタック

コンピューターツールを使い、理論的にあり得るパターンをすべて入力してログインを試す手法が「ブルートフォースアタック」であり、その手法から総当たり攻撃とも呼ばれます。人間であれば膨大な時間と手間がかかる作業をコンピューターに任せることで、自動的に短時間でログイン情報を解析できます。

また、人間が発想するパスワードをあらかじめ予測し、優先的に組み合わせを試していく「辞書攻撃」という、ブルートフォースアタックに類似した手法も知られています。

パスワードリスト攻撃

攻撃者がブラックマーケットなどで入手したID/パスワードのリストを使い、正規のログイン画面からアクセスを試みる手法が「パスワードリスト攻撃」です。これらのリストは、セキュリティの甘いWebサイトなどから不正に取得した個人情報や、不正ログイン情報をもとに作成されるといわれています。

複数のインターネットサービスで、同じID/パスワードを使い回している人が多く、これを悪用し、さまざまなWebサイトで不正ログインを試すという手法です。

コンピューターウイルス

圧縮ファイル形式のコンピューターウイルスを開くことで、コンピューター内のログイン情報などを抜き取る手法です。

メールなどに添付されて送られることが多く、サービス情報も同時に抜き取られるため、ログインを試す必要もなく不正ログインされてしまいます。

サービスのぜい弱性を攻撃

WebサイトのOSに不正コマンドを送る「OSコマンドインジェクション」や、Webアプリケーションにスクリプトを埋め込む「クロスサイトスクリプティング」など、サービス提供側のミドルウェアやOSのぜい弱性を狙い、不正操作を行う攻撃が頻繁に行われています。

近年では、ログイン画面を経由し、データベースに不正コマンドを送る「SQLインジェクション」による不正ログインも多発しているといいます。

これらの攻撃は、コンピュータによるボットで機械的に行われるようになってきました。短時間で膨大な数の試行が繰り返されるため、気づいたときには「手遅れ」となっていることも少なくありません。

不正ログインを狙った事故事例

不正ログインによる被害のほとんどを占めるのが、インターネットバンキングによる不正送金であることからもわかるように、その目的は、金銭目当ての個人情報取得にあるともいえます。つまり、不正ログインはサービス提供側のWebサイト自体が標的となるケースが多いのです。

実際に、個人情報取得を目的に発生した、情報流出事故の事例を紹介しておきましょう。

通販サイトから情報流出、カード不正利用2,000万円

サーバーを含めたシステム刷新を行った健康食品通販サイトで、クレジットカード情報を含む個人情報流出事故が発生。原因は、運用を停止した旧サーバーのバックアップデータに存在する、システムのぜい弱性をついたサイバー攻撃でした。

カード情報を含まない個人データを含め、その情報流出被害は数万人規模にも及んでおり、実際に300件強のクレジットカード不正利用も発覚。被害総額が2,000万円を超えるという、甚大な被害が確認されるにまで発展しました。

メルマガの個人情報流出、外部で公開

メールマガジン会員組織を運営するショップで、会員のメールアドレス/パスワードを含む個人情報流出事故が発生。Webサイトを運営するサーバーに対し、システムのぜい弱性を狙ったSQLインジェクション攻撃を仕掛けられたのが原因であり、データベースへ直接侵入され、不正な操作をされてしまいました。

流出した個人情報は数十万人規模におよび、少なくとも5か所の外部サイトで公開されている事実が判明。流出元は直ちに情報削除を要求したものの、二次被害が拡大しないよう、会員にパスワードの更新と注意を呼びかけています。

企業がとるべき不正ログイン対策

すでに解説したように、不正ログインにもさまざまな手法が存在します。しかし、事例からもわかるように、大量の個人データを保有するサービス提供側のWebサイトが狙われると、その被害は甚大なものになりがちです。

こうしたリスクを排除し、不正ログイン被害から自社サイトを守るには、どのような対策を行えばいいのでしょうか。

情報管理を徹底する

Webサーバーにファイアウォールを設定する、ミドルウェアやOSなどのぜい弱性対策を行う、個人情報を取り扱うデータベースをDMZに設置し、外部ネットワークから隔離するなど、まずは基本的で重要なセキュリティ対策を施すことが重要です。

そのうえで、管理者を含めたWebサイトを運営する関係者すべてに、セキュリティ意識の向上を啓蒙し、企業全体で情報管理を徹底して行っていく必要があるでしょう。

ログイン画面のセキュリティを強化

ブルートフォースアタック、パスワードリスト攻撃、一部のSQLインジェクションなどに代表されるように、不正ログイン攻撃の標的は、Webサイトのログイン画面となるケースが多々あります。

このため、ログイン画面のセキュリティを強化することで、不正ログインの抑止効果が期待できます。

SSL認証の導入

SSL認証を導入し、ブラウザとサーバー間の通信を暗号化することによって、不正ログインによるなりすましや、情報の傍受などをある程度防止できるようになります。従来は、入力フォームのみSSLとするケースが多かったものの、セキュリティへの意識が高まった現在では、Webサイト全体をSSL化する動きが加速しており、Googleもこれを推奨しています。

2段階認証の活用

アカウントログインの際に、設定した質問に回答するなどの多要素認証、一定時間のみ有効なワンタイムパスワードを発行してログインするなどの「2段階認証」を活用し、不正ログインを防止する方法です。

2段階認証では、ID/パスワードが不正利用されても、もう1段階の認証手順が必要になるため、不正ログイン防止に効果を発揮できるといえるでしょう。

しかし、操作手順の増える2段階認証では「ユーザーの負担が増える」デメリットがあり、ユーザビリティ低下がビジネス拡大を阻害する懸念も残ります。

セキュリティツールの導入

スパムボットなどを利用して自動的に攻撃が行われる不正ログインでは、2段階認証が非常に有効なものの、上述したようにユーザビリティの観点ではマイナスの影響も考えられるでしょう。

こうした影響を最小限にし、効果的に不正ログインを防止できる手段のひとつがセキュリティツールです。ニーズに応じて選択・組み合わせをし、Webサイトに実装するのがおすすめです。

不正ログイン対策におすすめのセキュリティツール

以下からは、不正ログインを効果的に防止し、導入の手間もかからない、おすすめのセキュリティツールを紹介しましょう。

Capy


  • 豊富なラインナップで不正ログインをブロック
  • 簡単導入・メンテナンスフリー
  • 大手企業を中心とした豊富な導入実績

Capyは、スパムボットによる不正ログインに完全対応する「アバターキャプチャ」「パズルキャプチャ」のほか、人間によるなりすましに対応する「リスクベース認証」など、豊富にラインナップされた各種セキュリティツールで、Webサイトのログインページを強固に守ります。

コードをWebサイトにコピー&ペーストするだけの簡単導入に加え、ASPによる提供のため、メンテナンスの必要もありません。
Capyを実装した、世界中のサイトでの攻撃者情報も「リアルタイムブラックリスト」で共有可能。あらゆる側面から不正ログインをブロックできます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
Capyの製品資料を無料DL

セキュリティツールで不正ログインをブロック

Webサイトは世界中のあらゆる人々の目にさらされており、不正ログインの攻撃者は国内のみであるとは限りません。また、本文中でも解説したように、情報化社会の進展によって攻撃者のスキルも高度化しており、その手口はますます巧妙化する傾向にあるといえるでしょう。

こうした状況で自社のWebサイトを不正ログインの脅威から守り、情報漏えいのリスクを排除するには、基本的なセキュリティ対策を施したうえで、効果的なツールを併用していく必要があります。

ユーザーの負担を軽減しつつ、効果的に不正ログインをブロックするため、セキュリティツールの導入を検討してみてはいかがでしょうか。