トピックス 2019.05.24 常に考えておきたい不正ログイン、パスワードリスト攻撃への備え

しかし、他人になりすましたりパスワードを盗み取ることによる「不正ログイン」のトラブルは数多く発生しており、常に対策を考えなければなりません。

警察庁の発表によれば、認知されている不正アクセスの件数は2014年の3,549件をピークに減少傾向となっていましたが、2018年の報告数は前年から284件増加した1486件を記録しました。

過去5年の不正アクセスの認知件数の推移（出展：警察庁）

また2018年の不正アクセスの検挙件数は前年比約36%増加となる648件を記録していて、被害額の合計は法人で5700万円、個人の場合は4億400万円にも上るなど大きな被害をもたらしているのです。

今回の記事では、近年発生している不正ログインの事例を紹介するとともに、不正ログインを防ぐための対策と万が一被害にあってしまった場合の対応方法についてご説明します。

ここで不正ログインによる被害の代表的なケースを、2018年の発生件数が多かった順に見ていきましょう。

1.    メールの盗み見などによる個人情報の漏洩（385件）

第三者にIDおよびパスワードを知られてしまうことで、メールの中身を盗み見られてしまう被害が最も多く(385件)、前年から約2.6倍に増加しています。

企業が管理している外部に漏洩してはいけないデータや個人のアカウントで保存されている個人情報、趣味嗜好などのプライバシーなデータは金銭的な価値も高く、多くの攻撃者が狙っている情報です。

このケースでは、単にメールの内容が流出してしまうだけでなく、メールアカウントにログインすることが出来なくなる被害なども発生しています。

2.    インターネットバンキングでの不正送金（322件）

金銭を目的とした不正アクセスとして、最も直接的な手口がインターネットバンキングでの不正送金です。

発生件数は前年と比較して103件減の322件となっていますが、被害がそのままダイレクトに金銭的な損失につながってしまうため大きな損害につながってしまいます。

3.    オンラインゲーム・コミュニティサイトの不正操作（199件）

こちらも、アカウントを乗っ取られることによる被害です。ゲームやコミュニティサイトへ本人になりすましてログインを行い、課金サービスを利用したり、他のユーザーへメッセージを送信する被害が発生しています。

このようなケースはオンラインゲームやコミュニティサイトをよく利用する若年層に集中しており、高校生などの未成年者が摘発されるケースも多いようです。

また、ここで取り上げた以外にも2018年に発生した被害の中では、仮想通貨を管理している口座からの仮想通貨の不正な送金やインターネットショッピングサイトでの不正な商品の購入といった事例も大きな割合を占めています。
 

平成30年における不正アクセス後の行為別認知件数（出展：警察庁）

不正にログインを行う手法には、誕生日や電話番号など登録しているユーザーの個人情報から推測を行う方法や、"password"、”root”、"0000"などのよく使われる単語を片っ端から試す方法、法則は関係無しにあらゆる文字の組み合わせを入れ方法などがあります。しかし、中でも最も注意しなければいけないのが「パスワードリスト攻撃」です。

これは不正に入手したIDとパスワードを他の様々なサイトで試すといった方法で、同じID・パスワードを使い回している場合、メールやSNS、ECサイトなどの使用しているサービスがすべて乗っ取られてしまいます。

しかも、アメリカのセキュリティ会社であるMcAfeeによれば、ユーザー1人あたり10種類以上のWebサイトに登録しているにも関わらず、そのうちの7割において数種類のID/パスワードを使い回している状況であることが分かりました。

たとえ面倒であっても「サイトごとにID・パスワードを変える」もしくは「なるべく予測しにくいID・パスワードを使用する」「定期的にパスワードを変更する」といったことが大切です。

不正ログインを防ぐための基本的な対策について紹介しましたが、ここでは特にオススメしたい2つの対策について紹介します。

●     パスワード管理アプリを使用する

パスワードは、数字、大小英文字、記号を使った8文字以上のものを使うことが推奨されていますが、管理の煩雑さからどうしても安易なパスワードを設定したり、パスワードの使い回しを行なってしまいがちです。

そういった場合には、パスワードをまとめて管理してくれるアプリの利用を検討してみましょう。

利用しているパスワードを1つ1つ保存できるのはもちろんのこと、複雑なパスワードを自動で作ってくれたり、パスワード入力を自動で行える機能がついているものもあります。

パスワード管理アプリを使えば、1つのマスターパスワードを覚えておくだけで何十個ものパスワードを暗号化して安全に管理することができるのでとてもおすすめです。

●     ログインは2段階認証で行うようにする

不正ログイン対策の有効な方法として、通常のログイン作業の後に登録している電話番号やメールアドレスに送られてきた確認コードの入力を行う「2段階認証」があります。

2段階認証を利用している場合、仮にIDやパスワードを不正に利用されても、それだけではログインを行うことはできないので、2段階認証に対応しているサービスの場合は積極的に活用しましょう。

二段階認証のイメージ（出展：情報処理推進機構）

パスワードの管理など気をつけていても不正アクセスではないかと思われる兆候があった場合には速やかに以下の対処を行うことが重要です。

●     サービスを提供している事業者に連絡する

サービスを利用している会社に連絡を行い、対応方法について相談しましょう。自分でログインができる状態であれば、パスワードを変更されてしまう前に早急にパスワードを変更し、他のサイトで同じパスワードを使い回していないか確認しましょう。

●     クレジットカード会社に連絡する

不正ログインによる金銭的被害があった場合には、すぐにクレジットカード会社へ連絡しましょう。不正利用の保険が付いている場合には、規定の日数以内に決められた手続きを行うことで被害を補填できる可能性があります。

●     警察や消費生活センターに相談する

個人情報の漏洩や金銭の盗難など、被害が深刻な場合には、警察や消費生活センターに相談することも検討しましょう。不正ログインは立派な犯罪行為であるため、実害に応じて捜査の対象となります。

インターネットの利用が当たり前のものとなっている今の時代、知らないうちに不正アクセス行為の被害者になってしまうことは十分にありえますし、同じパスワードを複数のサイトで使い回しているとドミノ倒しのように次々と被害が広がってしまいます。

被害が発生してから後悔するようなことがないように、今のうちにしっかりと対策を行っておきましょう。

【関連リンク】
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況（警察庁）
http://www.npa.go.jp/cyber/pdf/h310322_access.pdf

・平成30年におけるサイバー空間をめぐる脅威の情勢等について（警察庁）
https://www.npa.go.jp/publications/statistics/cybersecurity/data/H30_cyber_jousei.pdf

・不正ログインを防ぐための”ID/パスワード管理術”（McAfee）
https://www.mcafee.com/japan/home/security/news/036.html

・不正ログイン対策特集ページ（情報処理推進機構）
https://www.ipa.go.jp/security/anshin/account_security.html

・不正ログイン対策のための「2段階認証」設定手順書（情報処理推進機構）https://www.ipa.go.jp/security/anshin/tips/2step_index.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock