米国における情報漏洩とAccount Takeover

2017年5月1日

 

米国における個人情報漏洩

米国では、EMV化によるICチップベースのクレジットカードが登場したことで、不正犯罪者が対面からオンライン取引へとその場を急速に変えています。

最近の調査によると、昨年、1,500万人以上のアメリカ人が個人情報と財務情報を盗まれているということが判明しました。 これは2015年に比して、実に16%も増加しています。

 

Account Takeover

不正にID, Passwordを抜き取り、第三者のアカウントに成りすまして入ることを、”Account Takeover”といいます。米国では、不正犯罪集団のハッキングによる、このID, Passwordの流出が後を絶ちません。2016年には、このAccount Takeoverによる成りすましの購入や不正送金といった被害が40%も増加したと言われています。

 

Account TakeoverとPassword Cracking

組織化された犯罪集団は、様々なウェブサイトに、”Password Cracking”を仕掛けていると言われています。DATAVISORによれば、ある小売店のウェブサイトにおいて、1日に数千のattacking IPアドレスから300,000回以上のログイン施行を確認したとのことです。

上図は、グローバルにおけるattacking IPアドレスのマップになります。

非常に古典的な方法と言われるこのPassword Crackingは今も日常で行われています。昨今ではセキュリティの強化により、十分防ぐ余地はあるものの、未だセキュリティー対策の甘いシステムも多く、不正犯罪集団がこの手法を好んで使い続けている要因にもなっています。

※Password Crackingとは?

ターゲットとなるシステムにアクセスするためのパスワードを不正に入手したり、クラッキングツールで生成したパスワードをログインするために送信して成功を待ったりする不正アクセスの方法です。