ITmedia NEWS > セキュリティ >
ニュース
» 2019年07月08日 07時00分 公開

迷惑bot事件簿:急増する不正ログイン、対策のカギは「正しく怖がる」こと (1/3)

不正ログインの被害が日本社会を揺るがしている。過去1年あまりで報道された大きな被害だけでも10件を超えた。不正ログイン事件の裏側を考察し、起こり得る犯罪と回避策の有効性を検証したい。

[中西一博,ITmedia]

連載:迷惑bot事件簿

さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。社会や企業、利用者にさまざまな影響を及ぼすbotによる、決して笑い事では済まない迷惑行為の実態を、業界別の事例と対策で解説する。著者は、セキュリティベンダーの“中の人”として、日々、国内外のbotの動向を追っているアカマイ・テクノロジーズの中西一博氏。

 不正ログインの被害が日本社会を揺るがしている。今、日本がこのタイプの犯罪の「絶好の狩場」となっていることは想像に難くない。過去1年あまりで報道された大きな被害だけでも10件を超えている。

 Webサービスやスマートフォンアプリでの不正ログイン被害の多くが「パスワードリスト型攻撃」によるものだ。攻撃者が入手した大量のID・パスワードなどの認証情報が、標的とするサイトで使えるかどうか、繰り返し処理を得意とする「bot」を使って試していく――そんな不正ログインの実態は、この連載でも指摘してきた

 「迷惑bot事件簿」第8回ではさらに掘り下げ、新たなデータも加え不正ログイン事件の裏側を考察し、起こり得る犯罪と回避策の有効性を検証したい。既に攻撃が日常化した以上、利用者の情報を預かるサービス提供者側はもちろん、その利用者も、起き得るリスクを把握して「正しく怖がる」構えが今こそ必要だ。

SNSの情報漏えいと“不気味な同期” 不正ログイン急増の背景

 まず疑問に浮かぶのは、不正ログインの試行に用いるID・パスワードなどの認証情報はどこから得られるのか、ということだ。

 ここで1つのデータを示したい。アカマイ・テクノロジーズ(アカマイ)がまとめた、メディア&エンターテインメント業界への不正ログイン試行件数の推移だ。昨年6月上旬と10月下旬に1日約2億回のピークがあることが分かる。この時期に、ソーシャルメディア大手の個人情報漏えいが大きく報じられたのを覚えているだろうか。

photo メディア&エンターテインメント業界に対する1日当たりの不正ログイン件数

 昨年5月3日、Twitterは全ユーザー、約3.3億人(当時)にパスワードの変更を求めた。パスワードが平文(暗号化なし)で内部ログに保存されていたと判明したためだ(ただし、Twitterは「漏えいではない」と強調している)。

 Facebookも9月28日、ソフトウェア上の欠陥を悪用され、約5000万人のFacebookユーザーアカウントのデジタル上の鍵(アクセストークン)が流出したと発表した

 こうした報道と上記のデータに直接、関連があるかは明らかではない。しかし、あたかも同期するかのように、不正ログインの件数が急増していたことはとても興味深い。

 今年1月には別の大規模な情報漏えいが報じられた。「Collection #1」と呼ばれる、7億件超のメールアドレス、パスワードを含む87GBに及ぶ個人情報のデータダンプがネット上で見つかった。中身は08年ごろからの古いデータを含む、2000以上のソースから収集・蓄積されたデータだと分析されている。

 その後、Collection #2〜5の存在も判明。重複データを含むとはいえ、データサイズは合計1TBに及ぶ。これらのデータは今でも比較的容易にネット上で入手可能という。

 さまざまなソースから入手した精度の低い大量の認証情報が、ECサイトなど、標的となるサービスでも有効か否かを判定するために不正ログインの試行が行われる。

 ログイン可否の結果をまとめた情報だけでも“闇転売”で利益を出せるが、アカウントにひも付く住所、電話番号、クレジットカードなどの情報をまとめた「Fullz」と呼ばれるデータセットは、闇市場でデータ1件当たり1〜2万円といった高値で取引されることもある。逆にいえば、その値段で買っても、犯罪者は不正行為で十分利益を出せるノウハウを持っているということだろう。

高額商品の購入だけではない、不正ログインの被害

 次にWebサイトやスマホアプリなどのサービスが不正ログインを許した結果、生じる事件やリスクを追っていこう。あわせて犯罪者の狙いも整理したい。

 まずは「アカウント権限を直接悪用する不正行為」から代表的なものを取り上げる。

 今、日本で頻発しているのは、商品の不正購入だ。ECサイトのアカウントにひも付いているクレジットカードなどのペイメント情報を基に、転売可能な商品を購入する。正規の利用者にアカウントを奪還されるのを防ぐため、パスワードを変更したり、住所や電話番号などを書き換えたりすることも多いので注意が必要だ。

 普段着払いなどを利用していて、クレジットカード情報とひも付けていないアカウントも安全ではない。不正に入手した他人のクレジットカードやギフトカードの情報と組み合わせてアカウントを悪用されるケースもある。

 2018年8月には、ドコモオンラインショップでiPhone Xが不正購入される被害(約1000件)が報じられたが、不正購入されるのはこのような高額商品だけではない。

 最近被害に遭った筆者の知人の例では、Amazon.co.jpでスマホ用のガラスフィルムを、ギフトカードを使って中国名の業者から47件、不正購入されていた。正規ユーザーに気付かれるのを避けたいという犯罪者側の意図が感じられる。幸い最近のECサイトには、商品購入の度にメールで通知する機能があるので、届いたメールをすぐ読めるよう、自分のスマホなどを設定しておくとよいだろう。

photo 不正ログインに遭った知人アカウントの不正購買履歴と不正な情報の変更
       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.