企業が行うべき不正ログイン対策｜手口や被害事例から学ぶセキュリティ強化

「不正ログインの手口や被害事例にはどのようなものがある？」
「不正ログインから身を守るために実施すべき対策とは？」

不正ログインの被害は後を絶たず、企業・個人関係なく攻撃のターゲットとなります。一度不正ログインを許してしまうと、個人情報の流出や金銭的な被害につながる可能性があります。さらに、流出した情報が別の犯罪に悪用されるリスクもあるため、適切な対策が不可欠です。

本記事では、不正ログインについて以下の内容を解説します。

• 不正ログインの目的と手口
• ECサイトにおける具体的な被害事例
• 企業とユーザーそれぞれの対策方法

本記事を読むことで、不正ログインのリスクや効果的な対策方法が理解できます。現在のセキュリティ対策に不安がある方は、ぜひご一読ください。

不正ログインとは

不正ログインとは、他人のIDとパスワードを不正に入手し、正規ユーザーになりすましてシステムにアクセスする行為です。たとえば、第三者がECサイトのログイン情報を使って勝手に買い物をしたり、SNSアカウントに不正にログインして個人情報を盗んだりする事例が該当します。

不正ログインは、より広い概念である「不正アクセス」の一種として位置づけられています。両者の違いは以下の通りです。

• 不正ログイン
  認証情報を悪用し、アカウントに不正にログインすることを指す
• 不正アクセス
  不正ログインのほか、システムの脆弱性を突いた侵入やウイルス感染による攻撃など、システムやネットワークに不正侵入する行為全般を指す

被害の対象は私たちの身近なサービスばかりです。ネットバンキング、ECサイト、SNS、メール、オンラインゲームなど、IDとパスワードで保護されているあらゆるサービスが攻撃対象となります。特に近年は組織的な犯行が増加し、金銭詐取や個人情報の転売など、深刻な被害が続発しているため、適切な対策が不可欠です。

不正ログインの目的

不正ログインの主な目的は、次の2つです。

• 個人情報や金銭を盗む
• 盗んだ情報を別の不正に悪用する

本章では、不正ログインによって引き起こされる被害やリスクについて詳しく説明します。

個人情報や金銭を盗む

不正ログインによって、ネットバンキングの口座から不正に送金されたり、ECサイトのポイントが不正利用される危険性があります。また、クレジットカード番号や住所、氏名といった個人情報が盗まれる恐れも。

不正ログインで入手された情報は、ダークウェブという違法な取引サイトで売買される可能性があり、被害が拡大するリスクを抱えています。一度流出した情報は完全に取り戻すことが困難であるため、不正ログインの防止策を講じることは非常に重要です。

▼関連記事

ダークウェブとは｜ログイン情報が売買される闇市場のリスクと企業の対策

ダークウェブは通常アクセスできないWebサイトで、機密情報や違法物品が取引されています。国内大企業100社の情報流出も確認された具体的な脅威と、組織がとるべき4つの実践的対策を解説します。

www.aeyescan.jp

2024.03.10

盗んだ情報を別の不正に悪用する

不正ログインで盗まれた情報は、別の犯罪に悪用される危険性があります。被害者が知らないうちに、不正行為に巻き込まれてしまうケースも少なくありません。

たとえば、盗んだクレジットカード情報を使って宿泊予約を行い、その予約情報を別の顧客に販売する「不正トラベル」の手口があります。クレジットカードの名義人が不正に気付かない場合、決済は正常に完了し、不正者は代金を受け取ります。仮に後日発覚してキャンセルされたとしても、すでに旅行者から代金を受け取っているため、不正者は利益を得られるという仕組みです。

このように、盗まれた情報はさまざまな不正取引の連鎖を引き起こす可能性があります。

不正ログインの主な手口

不正ログインの手口は多岐に渡り、技術的な攻撃から人間の心理を巧みに利用するものまでさまざまです。主な手口には、以下の5つがあります。

• パスワードリスト攻撃
• ブルートフォースアタック
• 辞書アタック
• フィッシング
• ソーシャルエンジニアリング

手口を知ると対策を立てやすくなるため、ぜひ参考にしてください。

パスワードリスト攻撃

パスワードリスト攻撃とは、何らかの方法で入手したIDとパスワードを使用し、サービスへの不正ログインを試みる手法です。複数のサービスで同一のID・パスワードを使い回していると、攻撃者は同じ認証情報で他のサービスにも不正ログインを試みます。1つのサービスでの情報流出が、複数のサービスでの被害につながるリスクがあるのです。

結果としてさまざまなアカウントが乗っ取られ、個人情報や金銭が盗まれるなど、大きな被害につながる恐れがあります。

ブルートフォースアタック

ブルートフォースアタックとは、考えられるすべてのIDとパスワードの組み合わせを総当たりで試行する攻撃手法です。一見すると非効率な方法に思えますが、IDまたはパスワードのどちらかが判明している場合、試行回数は大幅に減少します。

たとえば、メールアドレスがIDとして使用されている場合、攻撃者はパスワードの組み合わせだけを試せばよく、想像以上に短時間で不正ログインが成功してしまう可能性があります。

単純なパスワードや推測しやすいIDを使用していると、ブルートフォースアタックによって容易に不正ログインを許してしまう危険性が高まるでしょう。攻撃の成功率を下げるには、複雑なパスワードの設定が不可欠です。

辞書アタック

辞書アタックとは、人名・誕生日といった推測されやすい単語のパスワードを用いて不正ログインを試みる攻撃手法です。意味のある文字列やよくあるパスワードを使い回している場合、辞書アタックによって簡単に不正ログインを許してしまう危険性があります。

特に、個人に関連する情報をパスワードにしている場合、SNSなどから情報を収集されて攻撃が成功してしまう可能性もあります。誕生日・家族の名前・ペットの名前といった推測しやすい情報をパスワードにするのは避け、推測されにくいランダムな文字列を設定することが重要です。

フィッシング

フィッシングとは、信頼できる組織や企業になりすまし、ユーザーから認証情報を盗む攻撃手法です。攻撃者は、実在する組織からの正当なメールを装い、偽装したWebサイトへユーザーを誘導します。ユーザーは自ら個人情報を入力してしまうため、攻撃者は不正ログインに必要な情報を短時間で入手できます。

本物そっくりのWebサイトが使用されることから、一般のユーザーが詐欺サイトと見破ることは困難です。フィッシング被害を防ぐには、メールに記載されたURLを安易にクリックしないことが重要になります。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、人間の心理や行動の特徴を利用して認証情報を入手する手法です。

具体的には、肩越しに他人のパソコンやスマートフォンを覗き見する「ショルダーハッキング」や、ゴミ箱から情報を探す「トラッシング」などの非技術的な手法から、特定の個人・組織をターゲットに信頼できる人物・組織を装って仕掛ける「スピアフィッシング」などの技術的手法まで、その手口は多岐にわたります。

一見すると単純に見える手法も多いですが、人間の心理的な隙や行動のミスを突いてくるため、完全な対策は困難です。ソーシャルエンジニアリングから身を守るには、個人情報の管理を徹底することが重要です。

ECサイトにおける不正ログインの被害事例

ECサイトにおいて、不正ログインの被害事例は数多く報告されています。実際にあった代表的な手口を以下に3つ取り上げます。

• フィッシングによる情報窃取
• Webアプリケーションの脆弱性を突いた攻撃による情報窃取
• パスワードリスト攻撃による情報窃取

不正ログインの被害は、いつどの企業で起こっても不思議ではありません。詳しい内容を知り、自社の対策を立てる際に参考にしましょう。

フィッシングによる情報窃取

2023年1月、ECショップ作成サービスを利用して構築したECサイトの管理者アカウント情報が窃取される事件が公表されました。被害に遭ったECサイトの例は以下の通りです。

攻撃者は、「サイトにエラーが発生した」という利用者からの問い合わせを装った偽のメールを、サイトの管理者宛に送信。エラーメッセージの転記に見かけて本物そっくりの管理画面のURLを置き、フィッシングサイトへ誘導しました。騙された管理者が認証情報を入力したことでID・パスワードが漏洩し、不正ログインを許してしまいました。

その後、購入者の氏名やメールアドレス、パスワードが盗まれただけでなく、管理者になりすまして購入者宛てにクレジットカード情報の提供を求めるメールが送られる事態となりました。

Webアプリケーションの脆弱性を突いた攻撃による情報窃取

2020年1月、クレジットカード決済システムのデータベースに対する不正アクセス事件が公表されました。その後の調査で、Webアプリケーションの脆弱性を悪用した攻撃によって管理者アカウントの認証情報が窃取され、社内管理システムに不正ログインされたことが発覚しています。

そのほかにも、データセンターサーバー内に配置された一部のWebアプリケーションに対するSQLインジェクション攻撃や、不正ファイル（バックドア）の設置などの複合的な攻撃が行われ、クレジットカード情報を含む機微な個人情報が流出する甚大な被害に発展しています。なお、原因発覚後、脆弱性に対する修正やバックドアの削除などの対処が速やかに行われました。

パスワードリスト攻撃による情報窃取

2024年11月、食品宅配のECサイトにおける不正ログインの被害が公表されました。本件は、同社以外から入手したIDとパスワードによる「パスワードリスト攻撃」が原因との見方が示されています。

顧客になりすまして行われた不正ログインの可能性があるID数は約97,533件にのぼり、氏名・住所・電話番号・メールアドレスなどの情報が閲覧された可能性があります。同社では不正ログインの対策としてWAFを導入していましたが攻撃を防ぐことはできず、事件を受け、サーバー側での多層防御をさらに強化しています。

▼関連記事

ECサイトのセキュリティ｜カード情報漏洩を防ぐ必須対策とは

ECサイトで多発するクレジットカード情報の不正利用を防ぐためのセキュリティ対策を解説。安全なサイト構築から運用まで、脆弱性診断の活用法や必須の対策ポイントを紹介します。

www.aeyescan.jp

2023.09.22

不正ログインを予防するための対策

不正ログインを防ぐためには、企業とユーザーの双方による対策が必要です。企業はシステムのセキュリティ強化に努め、ユーザーは適切なパスワード管理や不審なメールへの警戒を怠らないようにする必要があります。

不正ログインのリスクを最小限に抑えるために、企業・ユーザーそれぞれの対策を参考にして、セキュリティレベルの向上に努めましょう。

企業側が行うべき対策

企業が不正ログインからユーザーの情報を守るには、以下の4つの対策を実施するのが有効です。

1. 多要素認証を導入する
2. OSやソフトウェアを常に最新に保つ
3. 脆弱性診断を実施する
4. サイバー攻撃を検知するシステムを導入する

攻撃者はさまざまな手口で攻撃を仕掛けるため、どれか一つだけでは対策として不十分な場合があります。不正ログインのリスクを低減させるには、対策を総合的に実施することが大切です。

1.多要素認証を導入する

多要素認証は、システムへのログイン時に複数の認証方式を組み合わせることで、セキュリティを強化する仕組みです。具体的には、パスワードなどの「知識情報」、ICカードなどの「所持情報」、指紋などの「生体情報」から2つ以上を組み合わせて本人確認を行います。

従来のIDとパスワードだけの認証では、利用者のセキュリティ意識によって安全性が大きく左右されていました。しかし、多要素認証を導入することで、仮にパスワードが流出しても、別の認証要素が必要になるため不正ログインを防げます。

2.OSやソフトウェアを常に最新に保つ

システムの安全性を維持するには、OSやソフトウェアを常に最新の状態に保つことが重要です。プログラムには設計上の欠陥や不具合が存在する可能性があり、脆弱性を放置すると不正ログインの侵入口となってしまいます。

開発元から提供される修正プログラムを速やかに適用すれば、脆弱性の悪用を防ぐことができ、情報漏洩のリスクを低減できます。ただし、新たな脆弱性は日々発見されるため、アップデートは一度きりではなく、継続的に実施しましょう。更新を怠ると、攻撃者に付け入る隙を与えてしまうので注意が必要です。

3.脆弱性診断を実施する

脆弱性診断とは、システムの脆弱性を突いた攻撃を受けたとき、被害につながる可能性がないかを検証することです。

不正ログインによるデータ窃取やクレジットカード情報の悪用といった被害は後を絶たず、その攻撃の入り口としてWebシステムの脆弱性を使用する手口も横行しています。

脆弱性診断によって潜在的なリスクを早期に特定し、被害が発生する前に対策を講じることが重要です。

▼関連記事

脆弱性診断の仕組みと選定｜手動診断とツール診断使い分け

脆弱性診断の仕組みから選定まで解説。手動診断とツール診断のメリット・デメリット、選定基準を紹介します。

www.aeyescan.jp

2023.07.11

4.サイバー攻撃を検知するシステムを導入する

不正ログインを含むサイバー攻撃対策として、ファイアウォール、IDS/IPS、WAFの導入が有効です。

システム	守備範囲	防御できる攻撃
ファイアウォール	ネットワーク	ポートスキャン
IDS/IPS	OSやミドルウェア	DDoS攻撃 バッファオーバーフロー マルウェア感染
WAF	Webアプリケーション	SQLインジェクション クロスサイトスクリプティング OSコマンドインジェクション

システムごとに守備範囲が異なり、複数を組み合わせることでより強固なセキュリティ体制を構築できます。サイバー攻撃の手法は日々進化しているため、多層的な防御体制を整えることが重要です。

▼関連記事

WAFセキュリティの仕組み｜検知方法と7つの防御範囲

Webアプリケーションへの攻撃を防ぐWAFの3つの検知方法と、防御可能な7つの攻撃手法を分かりやすく解説します。

www.aeyescan.jp

2023.07.31

ユーザー側が行うべき対策

不正ログインのリスクを減らすために行うべきユーザー側の対策は、以下の2つです。

1. 安全なパスワードを設定する
2. 不審なメールやプログラムは開かない

基本的な対策のように思えますが、上記の対策ができておらず被害に遭うケースが後を絶ちません。不正ログインを防ぐには、2つの対策を普段から徹底しましょう。

1.安全なパスワードを設定する

安全なパスワードを設定することは、ブルートフォースアタックや辞書アタックなどへの対策となります。誕生日や名前など推測されやすい文字列を避け、記号や数字を組み合わせた複雑な構成にしましょう。

安全なパスワードを作成する際は、自分にとって覚えやすく、かつ解読されにくいフレーズをもとに作成する「コアパスワード」がおすすめです。

【コアパスワードの作成方法】 基本となる単語やフレーズを選ぶ。例：「セキュリティ強化」 ローマ字に変換する。例：「securitykyouka」 一部を大文字に変更する。例：「secUrityKYouka」 記号・数字を追加する。例：「secUri!!tyKYouka58」

 

ただし、SNSなどで公開している趣味や好きなものなど、公開している情報をフレーズに選ぶと、安易に推測されるリスクがあるため、注意が必要です。

また、IDやパスワードを人目に触れない場所で保管するようにしたり、複数のサービスで使いまわさないようにすることも重要です。そして、不特定多数が利用するパソコンでは、IDやパスワードを入力しないように注意しましょう。

2.不審なメールやプログラムは開かない

不審なメールが届いたときは、まず疑うことが大切です。差出人の情報は容易に偽装できるため、普段利用しているサービスからの連絡に見えるメールでも、送信元を慎重に確認しましょう。

メールに記載されたリンクやプログラムをクリックすると、マルウェアに感染してIDやパスワードが窃取される危険性があります。また、フィッシングサイトに誘導され、個人情報やクレジットカード情報を入力させられるケースも少なくありません。

疑わしいと感じたときは、公式サイトで不審なメールについて注意喚起されていないか確認するとよいでしょう。

まとめ｜不正ログイン対策で被害リスクを軽減しよう

不正ログインは、個人情報の窃取や金銭的被害をもたらす脅威です。パスワードリスト攻撃やフィッシングといった手口により、数多くの企業が被害に遭っています。手口は年々巧妙化しているため、十分なセキュリティ対策が欠かせません。

不正ログインの被害を防ぐには、企業とユーザーの双方の取り組みが重要です。企業側では、以下の対策が求められます。

1. 多要素認証を導入する
2. OSやソフトウェアを常に最新に保つ
3. 脆弱性診断を実施する
4. サイバー攻撃を検知するシステムを導入する

一方、ユーザー側では以下の対策が必要です。

1. 安全なパスワードを設定する
2. 不審なメールやプログラムは開かない

対策を適切に実施して継続的に見直すことで、不正ログインのリスクを最小限に抑えられます。「自社は大丈夫」と過信せず、不正ログイン対策を徹底しましょう。