急増する不正ログイン、対策のカギは「正しく怖がる」こと:迷惑bot事件簿(1/3 ページ)
連載:迷惑bot事件簿
さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。社会や企業、利用者にさまざまな影響を及ぼすbotによる、決して笑い事では済まない迷惑行為の実態を、業界別の事例と対策で解説する。著者は、セキュリティベンダーの“中の人”として、日々、国内外のbotの動向を追っているアカマイ・テクノロジーズの中西一博氏。
不正ログインの被害が日本社会を揺るがしている。今、日本がこのタイプの犯罪の「絶好の狩場」となっていることは想像に難くない。過去1年あまりで報道された大きな被害だけでも10件を超えている。
Webサービスやスマートフォンアプリでの不正ログイン被害の多くが「パスワードリスト型攻撃」によるものだ。攻撃者が入手した大量のID・パスワードなどの認証情報が、標的とするサイトで使えるかどうか、繰り返し処理を得意とする「bot」を使って試していく――そんな不正ログインの実態は、この連載でも指摘してきた。
「迷惑bot事件簿」第8回ではさらに掘り下げ、新たなデータも加え不正ログイン事件の裏側を考察し、起こり得る犯罪と回避策の有効性を検証したい。既に攻撃が日常化した以上、利用者の情報を預かるサービス提供者側はもちろん、その利用者も、起き得るリスクを把握して「正しく怖がる」構えが今こそ必要だ。
SNSの情報漏えいと“不気味な同期” 不正ログイン急増の背景
まず疑問に浮かぶのは、不正ログインの試行に用いるID・パスワードなどの認証情報はどこから得られるのか、ということだ。
ここで1つのデータを示したい。アカマイ・テクノロジーズ(アカマイ)がまとめた、メディア&エンターテインメント業界への不正ログイン試行件数の推移だ。昨年6月上旬と10月下旬に1日約2億回のピークがあることが分かる。この時期に、ソーシャルメディア大手の個人情報漏えいが大きく報じられたのを覚えているだろうか。
昨年5月3日、Twitterは全ユーザー、約3.3億人(当時)にパスワードの変更を求めた。パスワードが平文(暗号化なし)で内部ログに保存されていたと判明したためだ(ただし、Twitterは「漏えいではない」と強調している)。
Facebookも9月28日、ソフトウェア上の欠陥を悪用され、約5000万人のFacebookユーザーアカウントのデジタル上の鍵(アクセストークン)が流出したと発表した。
こうした報道と上記のデータに直接、関連があるかは明らかではない。しかし、あたかも同期するかのように、不正ログインの件数が急増していたことはとても興味深い。
今年1月には別の大規模な情報漏えいが報じられた。「Collection #1」と呼ばれる、7億件超のメールアドレス、パスワードを含む87GBに及ぶ個人情報のデータダンプがネット上で見つかった。中身は08年ごろからの古いデータを含む、2000以上のソースから収集・蓄積されたデータだと分析されている。
その後、Collection #2〜5の存在も判明。重複データを含むとはいえ、データサイズは合計1TBに及ぶ。これらのデータは今でも比較的容易にネット上で入手可能という。
さまざまなソースから入手した精度の低い大量の認証情報が、ECサイトなど、標的となるサービスでも有効か否かを判定するために不正ログインの試行が行われる。
ログイン可否の結果をまとめた情報だけでも“闇転売”で利益を出せるが、アカウントにひも付く住所、電話番号、クレジットカードなどの情報をまとめた「Fullz」と呼ばれるデータセットは、闇市場でデータ1件当たり1〜2万円といった高値で取引されることもある。逆にいえば、その値段で買っても、犯罪者は不正行為で十分利益を出せるノウハウを持っているということだろう。
高額商品の購入だけではない、不正ログインの被害
次にWebサイトやスマホアプリなどのサービスが不正ログインを許した結果、生じる事件やリスクを追っていこう。あわせて犯罪者の狙いも整理したい。
まずは「アカウント権限を直接悪用する不正行為」から代表的なものを取り上げる。
今、日本で頻発しているのは、商品の不正購入だ。ECサイトのアカウントにひも付いているクレジットカードなどのペイメント情報を基に、転売可能な商品を購入する。正規の利用者にアカウントを奪還されるのを防ぐため、パスワードを変更したり、住所や電話番号などを書き換えたりすることも多いので注意が必要だ。
普段着払いなどを利用していて、クレジットカード情報とひも付けていないアカウントも安全ではない。不正に入手した他人のクレジットカードやギフトカードの情報と組み合わせてアカウントを悪用されるケースもある。
2018年8月には、ドコモオンラインショップでiPhone Xが不正購入される被害(約1000件)が報じられたが、不正購入されるのはこのような高額商品だけではない。
最近被害に遭った筆者の知人の例では、Amazon.co.jpでスマホ用のガラスフィルムを、ギフトカードを使って中国名の業者から47件、不正購入されていた。正規ユーザーに気付かれるのを避けたいという犯罪者側の意図が感じられる。幸い最近のECサイトには、商品購入の度にメールで通知する機能があるので、届いたメールをすぐ読めるよう、自分のスマホなどを設定しておくとよいだろう。
関連記事
「7pay」不正ログイン被害で話題「二段階認証」とは?
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題。運営元のセブン・ペイが開いた会見で、記者が「なぜ、二段階認証を導入していなかったのか」と質問しました。ここで問題視されている「二段階認証」とはどのようなものでしょうか。
「FamiPayは大丈夫?」ネットで不安の声 ファミマは「不正ログインは起きていない」「二段階認証を使用」と明言
「7pay」問題のあおりを受け、ネット上では「FamiPay」のセキュリティ面を心配する声が出ている。ファミリーマートに見解を聞いたところ、「不正ログインは起きていない」と明言。二段階認証などを使用しており、セキュリティ面に問題はないと説明した。
クレカ不正利用で暗躍するbotの脅威 セキュリティコード特定は“朝飯前”
クレジットカード不正利用の背景には「ダークウェブ」の存在とbotの悪用がある。botの検知システムを利用することで、被害を未然に防ぐことが可能という。
チケット購入アクセス「9割がbot」→“殲滅”へ イープラスの激闘を振り返る
今年8月、「e+」への一般先着チケット購入アクセスの9割がbotによるものだった、というニュースが報じられた。あれから4カ月、bot対策はさらに進み、目に見える効果をあげている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。