不正ログインとは


社会問題化する不正ログイン被害の実態について

年間80万件にもおよぶ被害の実態

不正ログイン行為の発生件数は、警察庁へ報告がなされたものだけでも2013年の1年間において80万件ほどに達し、1日あたり2,000件以上発生している計算になります。そのためWebサービス運営事業者やインターネットユーザーにとって非常に大きな脅威となっています。

大手企業にもその被害は拡がっており、大手のクレジットカードサイト、SNSサイト、運輸サイト、通信キャリアサイト、ゲームサイトをはじめ、公表されているものだけでも25社から30件の被害報告がありました。

急増する不正ログイン

警察庁によって毎年発表される「不正アクセス行為の発生状況等の公表について」では、平成25年に不正アクセス事件の認知件数は約3000件にものぼることが明らかに。この数字は前年の1200件と比較すると2.5倍にも上り、過去最高となっています。

不正アクセスには、
1)サーバ・ネットワークなどの脆弱性を突く攻撃
2)内部の関係者からの流出
3)個人になりすました不正ログイン
が含まれるのですが、特に、中でも3つ目の「個人になりすました不正ログイン」が急増しています。

検挙された約1,000件のうち、およそ80%近くもの事件が利用権者のパスワードの設定・管理の甘さにつけ込んだ不正ログインであることが判明しました。

不正ログイン激増の理由とは

1. ID/パスワードの使いまわし
2014年に実施したある調査では、「日本人の約半数以上が、2〜3種類のパスワードをほぼ全てのWebサービスにおいて使いまわしている」という結果が。そのため1つのサイトでパスワードをはじめとするアカウント情報を盗まれてしまうと、ほかのすべてのサイトにおいても不正ログインの被害にあう危険性が伴うのです。

2. インターネット空間におけるID情報の流出増加
2013年にだけでも数十におよぶ大手Web事業社からアカウント情報が流出するなど、ID/パスワード情報の多くがハッカーの手に不正に渡ってしまっています。これらの流出したアカウント情報を利用して他Webサイトに繰り返し攻撃を仕掛ける「リスト型攻撃」が急増した結果、不正ログインの成功数が飛躍的に向上してしまったのです。

3. 攻撃方法の精緻化
従来まで有効とされてきた対策手法であるWebアプリケーション・ファイアーウォール(WAF)をすり抜ける、10〜20分に1度ログイン施行をする低速型攻撃など、従来のセキュリティ・ツールでは対処できない攻撃手法が日ごとに増加しています。

4. 情報漏洩を補助するツールの充実
OCR (光学文字認識)技術の進化、およびそれを利用した文字型CAPTCHAの突破ツールなど、不正ログインを助長するツールが誰でも簡単に入手可能になりました。そのため、高度なプログラミング知識を持たずとも、誰でも攻撃者へと変貌してしまう環境がととのってしまったのです。

ハッカーの手口の変化

不正ログイン被害拡大の背景には、上記の理由に加えて攻撃者であるハッカーの手口にも変化がみられることが考えられます。

これまで不正アクセスの手口と言うと、サーバーなどデータベースへのハッキングや、組織内部の人間による犯行が主流でした。しかし現在では、不正アクセス被害の大多数が不正ログイン、いわゆる“なりすまし”による不正アクセスなのです。

サーバーや組織のコンプライアンス強化による情報漏洩対策はもちろんのこと、今後はユーザーがWebサービスを利用するためにまず最初にアクセスをするログインページのセキュリティもさらに強化することが求められているのです。

 過去に主流であった攻撃手法

  • サーバー等のデータベースへの攻撃
  • 内部の何者かによる情報漏洩

 

 現在主流となっている攻撃手法

  • ログインページへの攻撃

 

不正ログインに効く製品一覧をみる