MEDIA_ARTICLE

不正ログインの手口と対策

公開日

コロナ禍を経てECでの買い物をする人が増加する陰で、 ECサイトのログインアカウントを不正に利用され気づかぬうちに勝手に買い物をされたり、アカウントを乗っ取り勝手にログイン情報を上書きされてしまうといったような不正ログインが増加しています。
そのような手口やリスク、対策について解説します。

不正ログインとは

不正ログインとは、悪意を持った第三者が正当な権限を有さずに他者のアカウントにアクセスする行為のことを指します。

企業を狙った不正ログインは主に機密情報の窃取やシステム脆弱性を狙った攻撃が多く見受けられますが、ここでは個人アカウントの不正ログインについて解説します。

個人を狙った不正ログインの多くは、ECサイトのアカウントIDやパスワードを何らかの形で入手し、そこに登録されているカード情報を使って勝手に買い物をしたり、アカウント情報を勝手に上書きされ、住所情報を不正購入の配送先に指定されたりしてしまうような被害が多く発生しています。

①漏洩情報が利用されてしまうケース

不正ログインの原因としてまず挙げられるのは、不正利用者が漏洩したID、パスワードを使ってログインを試みるケースです。

「漏洩」というと、少し前までは企業が管理していた個人情報等を担当者の不注意や、サイバー攻撃等によって漏らしてしまう事が多くありましたが、昨今ではフィッシングにより漏れてしまう事も非常に多くなっています。

フィッシングによる漏洩とは、実在するサービス名称を騙り、本物そっくりのサイトを作成し、ショートメッセージ等でそのニセサイトに誘導し、ユーザーにログイン情報を入力させることによってログイン情報を入手されてしまう方法です。

最近ではニュースなどでも報じられていますのでこの記事を読んでいる方は十分気をつけているかと思いますが、筆者の父も「amason」というショートメッセージに騙され、まんまと不正利用されてしまった。といった事がありました。

②ID、パスワードを推測されてしまうケース

また、不正利用者は①で得たログイン情報を別のサイトでも同じアカウントで使用しているのではないかと推測し、別のECサービスのログインでも使用してみるケースが多くあります。

実際にはフィッシングは別のサービスで引っ掛かってしまったので、そのサービスだけアカウントを変えたりすれば良い。と思い安心していると、
全く別のサービスでも勝手にログインされて不正に買い物されてしまったりするケースがあります。

これはログインID、パスワードを使い回している事が原因で発生します。

また、推測されてしまうケースとしては、IDとパスワードの組み合わせを総当たりで機械的に割り出そうとするブルートフォースアタックといった手法があります。

ブルートフォースアタックに対してはIP制限や一定時間のログイン試行回数等によって制御する事が可能です。

しかし、最近では、情報漏洩やフィッシングで得た多数のアカウント情報に対して、「password」や「123456」などといった単純なパスワードや推測しやすい情報を用いてパスワードを推測していくリバースブルートフォースアタックといった手法もあります。

これはよく使われがちなパスワードに対し、多数のアカウントを試みる手法のため、アカウントに対するログイン回数での制御が難しく、IDアドレスもコロコロと変えられてしまう事も多くあります。

ユーザーがすべき不正ログイン対策

ユーザーが不正ログイン被害に遭わないためには、

  • パスワードは複雑に使い回さない
  • 無闇にリンクをクリックしない

といった対策をする事が挙げられます。

まずは「パスワードは複雑に使い回さない」について。
最近はちょっとした登録でもパスワードを求められます。その度に、数字⚪︎桁以上、大文字小文字混在、記号必須、などなど、覚えていられないようなものが多く、

また、使い回しもできないとなると、どのように管理すれば・・・となってしまいますが、
独立行政法人情報処理推進機構が「使い回しを回避するパスワードの作成方法」を紹介していますので、参考にしていただければ。https://www.ipa.go.jp/security/anshin/attention/2016/mgdayori20160803.html

「フィッシングのリンクを無闇にクリックしない。」という点については、
よく使うサービスはブックマークやアプリから必ず「お知らせ」が来ていないか確認したり、
心当たりのない連絡に対しては、リンクのURLに不審な点がないか確認する、
といった事を意識掛けることが大切です。

ECサービスを利用/提供する上で重要なこと。

便利なECサービスを気軽に利用するために、ユーザーはパスワードの複雑化や、怪しいURLを無闇にクリックしない、などの不正の被害に遭わないようなセキュリティ意識をしっかりと持つ事が求められています。

また、サービス提供する企業側は、そのユーザーに対して必要な情報提供を行いながら、ユーザーの負担を軽減したセキュリティ対策をする必要があります。

現在Akuruではクレジットカードの不正対策サービスをメインに提供しておりますが、EC事業者様のあらゆる課題に対して、日々必要な情報を収集・発信し、今後より安全で楽しいECショッピングをユーザーに届けられるようソリューションを提供して参ります。

クレジットカード不正以外でも、ECに関するお困り事がございましたらAkuruへご相談ください。


SHARE