不正ログイン被害とその影響
不正ログインとは、様々な定義がありますが、ここで言及しているのは、不正ユーザー(不正集団)が、IDパスワードなどの会員情報を不正に取得し、たとえばひも付きのクレジットカードで不正購入されてしまうケースなどを言います(つまりここでお話する被害対象者はECサイト加盟店になります)。その際会員情報(Eメール、配送先住所、カード情報)を不正に変更するケースが多く、今年に入り不正ログインによる被害報告が増加している印象です。
業界もこの問題に対処し始めており、独立行政法人情報処理推進機構(IPA)が2023年3月16日に発表した「ECサイト構築・運用セキュリティガイドライン」では、不正ログイン対策の要件が明確に示されています。また、「クレジットセキュリティガイドライン」の今後のアップデートにおいても、不正ログイン対策に関する要件が含まれる可能性が高いとされています。
不正ログインの原因と対策
会員情報が不正に取得されてしまう経緯はいくつかあると考えています。
まずフィッシングによる不正取得です。フィッシングメールやフィッシングサイトによって、巧妙に会員情報を抜き取られます。この1年でフィッシングによる詐欺は増加しています。
次に、パスワードクラッキングがあります。会員IDパスワードを機械的に攻撃をして、ひたすら有効なIDパスワードを探し出す手法です。フィッシングで取られた記憶は絶対ないのに、被害を受けたというユーザーは、まさにこのパターンが想定されます。
あるいは、フィッシングだけでなく、広義の意味での個人情報流出です。昨今個人情報の流出が著しいです。流出した個人情報から読み取れる、推測できるパスワードを割り出され(たとえば生年月日などから)、不正に取得されてしまう。そのようなケースも考えられます。
しかし、ECサイトにおける不正ログイン対策は何が考えられるでしょうか?
たとえばアタックをしてきている特定のIP制限等は効果があるかもしれません。しかし、それも恒久的な対応とはなりません。目の前でできる対策は正直限られている印象です。
実は、一部の外資系ベンダーで不正ログイン対策ツールを提供しています。ただし、これらは有効な対策ツールなのですが、どれも費用的にハードルが高く、実際に導入を見送ったというお声も届いています。
また少なくとも、ライトに実装できるものはなく、APIでの実装がマストであり開発工数もそれほど軽くはない印象です。
EMV3Dセキュアによる不正ログイン対策の限界
義務化の方向性が打ち出されたEMV3Dセキュアはどうでしょうか?結論からいうと、EMV3Dセキュアは、不正ログイン対策としては完全ではありません。
EMV3Dセキュアは本人認証サービスですので、そこで牽制が効くのでは?と思うかもしれません。
ただし、EMV3Dセキュアのチャレンジ認証は全ての人に認証画面が出るわけではありません。特に、真正ユーザーのアカウントを不正に利用されると、なかなか不正かの判断がつかないケースが多いと考えています。そうなると、EMV3Dセキュアの場合は、結果問題ないとして、フリクションレスにて通過し認証がかからず、そのまま悪用されてしまうのです。
「ASUKA」による不正ログイン対策
アクルが提供する不正検知・認証システム「ASUKA」は、現状クレジットカードの第三者不正利用対策、クレジットマスターアタック対策に有効ですが、これまで不正ログイン対策については対象外でした。
しかし、実は2023年に入り、不正ログイン被害の増加や、また業界からの要請もあり、この不正ログイン対策についてのソリューションを準備してきました。まずはβ版ですが、2024年1月から提供開始となります。
「ASUKA」であれば、APIでの実装開発も必要なく、最短で1週間とライトにスタートが可能になります。また不正ログイン被害を効果的に防ぐことができます。
是非不正ログイン被害にお困りの加盟店さまがいらっしゃいましたら、お気軽にアクルまでお問い合わせください。