エラーメッセージの盲点
ドコモ口座を、口座からの資金移動の手口として悪用される被害がニュースになっています。
この不正送金の手口は、まず、フィッシング詐欺と呼ばれる方法で、金融機関のログイン画面に似せた偽サイトのURL付きのメールを配信します。
これを見た本来のユーザーが、本物のサイトからのメールと誤って認識し、入力してしまったログインIDとパスワードのセットによって、不正利用者が金融機関の本人認証を突破し、本人になりすまし送金処理をする、というものになります。
冒頭の
「パスワードに誤りがあります」
というエラーメッセージ、何が問題かと言うと、ログインIDとなるメールアドレスのユーザーアカウントは「存在している」ということを、暗に不正利用者に対して伝えてしまっているからです。
こうして収集したメールアドレスに対し
「あなたのアカウントが無効化されました、パスワードを正しく登録してください」
と本物そっくりのフィッシングメールを配信することにより、ユーザーは勘違いしてIDとパスワード、場合によってはそれ以上の機密となるべき個人情報を、不正利用者のもとに渡してしまうのです。
偽サイトをそっくりに作りこむことで、生月日や秘密の質問への答えも、易々と不正利用者は取得できてしまいます。
他にも、パスワード再設定画面で、
「入力されたメールアドレスは存在しません」
というエラー表示も、不正利用者にヒントを与えてしまうので注意が必要です。
このエラーが出ないということは、該当のメールアドレスでのユーザーアカウントは存在する、ということを暗に伝えてしまっているためです。
▲Gmailを利用していると、迷惑メールボックスに何通かこうしたフィッシングメールが入っている可能性があります。
ターゲットにされるWEBサービスの共通点
また、ドコモ口座を踏み台とした不正チャージ、上限金額についても段階を設けていれば狙われなかった可能性すらあると考えています。
クレジットカードや金融機関口座からのチャージでは、二段階認証の実施是非、本人確認手続きの是非に合わせ、段階的にチャージ可能上限金額を3万円、5万円、10万円と徐々に引き上げる方式にすることも、不正対策という観点では実は非常に重要です。
不正送金、クレジットカード不正利用の現場では、1回の粗利が大きいほどターゲットにされます。不正する側の作業工数が少なく済むためです。
こうしたフィッシング詐欺によるリスク対策が甘いWEBサービスが、不正のターゲットにされてしまう共通点であると言えます。
御社の運営するECサイトや会員サイト、パスワードに誤りがあった場合のエラーメッセージ、どのように表示しているでしょうか。
「ログインIDまたはパスワードが一致しません」
として、ログイン情報のうち何が異なるのかは見えなくするべきです。
非常に簡単な対策ではありますが、存在するアカウントなのかどうかわからなくすることが、フィッシング詐欺対策、本来のユーザーを不正から保護する重要な手段になります。
▲迷惑メールフォルダに振り分けられた、フィッシング詐欺と思われるメールの数々。ほぼ毎日送信されており、メールタイトルや表示名も巧妙です。
<無料> – 国内外のチャージバック関連レポート
期間限定でチャージバック関連レポートを無料でご提供しています。
日本・欧米諸国のチャージバックの実態、日本国内におけるクレジットカード不正利用の被害・トレンドやその対応策についてまとめたものです。
以下のバナーをクリックし、ダウンロードページよりご確認ください。
*本資料のダウンロードは予告なく終了となる場合があります。ご了承ください。
<PR> – アクルの不正検知・認証システムサービス
当社ではカード加盟店向けの不正検知・認証システムサービスを展開しています。
サービス詳細・導入事例は以下のページをご確認ください。
