急増する不正ログイン、対策のカギは「正しく怖がる」こと:迷惑bot事件簿(3/3 ページ)
不正ログイン被害を防ぐ対策、何が有効?
頻発する不正ログインを防ぐためには、いくつかの対策がある。ここでは、利用者ログインを伴うサービスを提供する事業者が検討すべき主な対策と、それぞれの限界を挙げてみる。
- 利用者に“パスワードの使い回し”をやめるよう呼び掛け
数字や記号を含む強度の高いパスワード利用の義務化と、パスワードの使い回しを避けるよう利用者に啓蒙することは、事業者が継続的に行っていくべき基本的な取り組みだ。ただ、多くの人がうっすら気付いているように、全ユーザーに周知するのは難しい。
利用するサイトごとにランダムなパスワードを生成して管理するアプリ「パスワードマネージャー」の利用を勧める識者もいる。しかし筆者は使っていない。アプリ自身が「パスワードをまとめて他人が入手するためのツール」にならないとは限らず、正直怖いからだ。
使い回し防止の啓蒙のみに頼る弊害は、何より「不正ログイン被害は、パスワードを使い回す利用者が原因であり、サイト側で防止する手段はない」と、事業者が思い込んでしまう(思い込もうとしている)ことだろう。不正ログインは事業者側が率先して対策に取り組むべき「サイバー攻撃」だということを、ニュースが出るたびに思い出してほしい。
- 二要素認証、多要素認証
パスワードとそれ以外の認証を組み合わせる多要素認証は、最も強力な不正ログイン対策の一つだ。外部デバイスやスマホアプリ、乱数表の書かれたカードを用いる方式の他、生体認証や、最近急速に日本で普及してきたSMSを使った認証などの方式がある。
こうした認証の仕組みは、パスワード認証の弱点を直接補完する上で理論上の最終解となり得るため、熱心に勧めるサイバーセキュリティの専門家も多い。
しかし現実のECサイトなどの“事件の現場”では、面倒な操作を嫌うユーザーが買い物を諦める「カゴ落ちリスク」が導入の根強い障壁となっている。ふと思い立ったときに、認証デバイスや乱数カードが手元にないと買い物ができない不便さも、サイトの売り上げにとっては大きなマイナス要因だ。
このため、金融機関など「ログインしないと明日から生活できない」ように、強い動機をユーザーが持つサービスでないと、利用を強制できないという現実面での弱点を抱えている。
とはいえ、多要素認証が利用できるECサイトは増えてきている。ユーザー個々の自衛策として「利用する」設定にしておくことは、お勧めしておきたい。
- bot検知ソリューション
不正ログインを試行するbotを識別して被害を防止する仕組みだ。ゆがんだ難読文字を入力させてbotと人間を見分けるCAPTCHAや、その派生技術でパズルや画像を選ばせる方式が主流だった。しかし人工知能(AI)技術の進歩で、もはや人間以上の精度でbotに突破されるため、時代遅れの技術になったことは何度かこの連載でも触れた。ユーザーに面倒な操作を強いる点で多要素認証と同じ「ユーザーの離脱リスク」を抱え、その離脱率は10%を超えるという。
この弱点を克服すべく登場したのが、ログイン時の人間とbot、それぞれに特有の“ふるまい”など複数の情報から、botか人間かを識別する技術だ。アカマイのBot Manager Premier(BMP)がこの方式を採っている他、詳細は公表されていないがGoogleのreCAPTCHAv3も同様の仕組みに基づいていると考えられる。
この方式の弱点は、人間が行う不正ログインが検知できないことだろう。ただ現実的には、何億件ものログインを繰り返す手段は、bot以外に考えにくい。「人件費の安い国で人を雇う」という極論があるが、コストや教育の手間と“足が付く”リスクを冒すくらいなら、別のサイトをbotで攻めるほうが犯罪者にとって合理的だ。個々の事業者としては「狙われないサイト」を作れば、それで「勝ち」だといえる。
この方式では発生する誤検知を抑えるため、“bot判定の効き具合”など、細やかなチューニングが必要になるのが注意すべき点だ。これを補うため、「botか人か判断に迷った場合だけ多要素認証の要求画面を表示する」といった他の方式との組み合わせも有効な策だろう。導入検討にあたり誤検知の起きやすさについても評判を集めておくとよい。
諦めていた戦いを制するには?
不正ログイン対策の手法には、それぞれに長所と短所がある。しかしそれらを上手に組み合わせることで、利用者の利便性が損なわれるなどのリスクを回避しながら、必要に応じて強力な認証手段を適用し、大量の不正ログイン被害を避けることはできる。
はっきりしているのは、「事業者側が対策に本腰を入れないと、このサイバー攻撃の被害はもはや止まらない」という事実だ。インターネットを安心して利用できるよう、諦めず企業努力を続けてほしいと願っている。
次回は、迷惑botの中でも“一番の老舗”、ゲーム業界に対するbotを取り上げる予定だ。
著者紹介:中西一博
1992年、日立情報ネットワークにシステムエンジニアとして入社。日立グループを統合するネットワークで各種のインターネットセキュリティサービス、モバイルアクセスサービスなどを開発し、当時黎明期にあった企業のサイバーセキュリティ運用のひな型を築いた。その後2000年にシスコシステムズに入社。セキュリティスペシャリストとしてシステムエンジニア、プロダクトマネジャー、マーケティングを担当し、新技術を元IT部門の視点を生かして分かりやすく解説するソリューション提案でネットワークセキュリティの業界を15年間にわたりリードした。2015年1月からはアカマイ・テクノロジーズ合同会社でプロダクト・ マーケティング・マネジャーとして、同社のクラウドセキュリティソリューションを担当。TVニュースや記事、セミナーなどで最新のサイバー攻撃動向を解説している。
関連記事
「7pay」不正ログイン被害で話題「二段階認証」とは?
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題。運営元のセブン・ペイが開いた会見で、記者が「なぜ、二段階認証を導入していなかったのか」と質問しました。ここで問題視されている「二段階認証」とはどのようなものでしょうか。
「FamiPayは大丈夫?」ネットで不安の声 ファミマは「不正ログインは起きていない」「二段階認証を使用」と明言
「7pay」問題のあおりを受け、ネット上では「FamiPay」のセキュリティ面を心配する声が出ている。ファミリーマートに見解を聞いたところ、「不正ログインは起きていない」と明言。二段階認証などを使用しており、セキュリティ面に問題はないと説明した。
クレカ不正利用で暗躍するbotの脅威 セキュリティコード特定は“朝飯前”
クレジットカード不正利用の背景には「ダークウェブ」の存在とbotの悪用がある。botの検知システムを利用することで、被害を未然に防ぐことが可能という。
チケット購入アクセス「9割がbot」→“殲滅”へ イープラスの激闘を振り返る
今年8月、「e+」への一般先着チケット購入アクセスの9割がbotによるものだった、というニュースが報じられた。あれから4カ月、bot対策はさらに進み、目に見える効果をあげている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。