コロナ禍で増加する不正ログイン 2021年に狙われる業界は？：「見えないWeb攻撃」──情報漏えい対策の盲点（2/2 ページ）

[中西一博，ITmedia]

　日本では、アカウントに溜まったポイントを他の共通ポイントに交換して、不正購買や現金化を試みる手口が多い。20年は電力会社の他に量販店や百貨店などの小売業、鉄道会社などでポイントを窃取された被害が報告されている。犯罪者にとって、現金化が容易なポイントは格好の標的だ。利益が出れば同業種でその手口を繰り返す傾向があるので、すでに被害の出ているこれらの業界では重点的な対策が必要といえる。

　特に旅客や旅行業界は、世界的な移動自粛の影響下でもビジネスを継続するために顧客向けサービスの一環としてポイントの付与キャンペーンを打ち出すが、一方でセキュリティに割く予算を削減せざるを得ない状況に置かれている。

　しかし、犯罪者はずる賢くその”すき”を狙っており、実際、不正ログインbot対策をやむなく中止したサービスが、間を置かず被害に遭うケースも出てきている。苦境の中で、Eコマース戦略に活路を見いだそうとする業界では、デジタルビジネスへのダメージを考慮した、ハイレベルなセキュリティへの投資判断が企業の経営陣に求められる局面が増えていくと予想される。

ビジネスアプリへの攻撃はフィッシングへの布石？

　この他、20年の国内企業への不正ログインで気になったのが、12月に報告された、プロジェクト管理やコラボレーションを行うビジネスアプリケーションへの10万回の不正ログイン試行が観測された事象だ。

　一般的に、botによるパスワードリスト型攻撃は、発信元偽装のためのProxyサーバのレンタル費など攻撃側にも一定のコストがかかる。このため不正送金や不正購買、共通ポイント窃取など、現金化の手順が想像しやすいサービスが標的になる傾向があったが、直接利益を得られないビジネス系アプリケーションが狙われたことは注目に値する。

　この他にも、システムインテグレーターの法人パートナー用会員サイトのログイン情報漏えいが報告されるなど、20年後半から従業員や取引先の個人情報を狙った被害報告が国内でも目立つようになってきた。

　このようなビジネス向けアプリのアカウントには、マルウェア「Emotet」で昨年注目された「成り済ましメール」に利用できるメールアドレスや氏名、過去のコミュニケーション履歴などの情報が含まれる。つまり、企業内への侵入を図る「成り済ましメール」の元データを得る手段として、SaaSベースのビジネスアプリに対して不正ログイン試行が行われている可能性を、本格的に考慮すべき段階に入ったといえるだろう。

2021年、不正ログインの重点対策ポイントは？

　このように、不正ログインの試行はシンプルだが強力な攻撃手法であり、窃取された情報は犯罪者間の売買を通じてあらゆる攻撃の起点になり得る。不正ログインを許したアカウントに含まれるメールアドレスや電話番号は、いま社会問題となっているフィッシング、特にSMSを悪用したもの（スミッシング）にも流用される。

　消費者向けサービスを提供しているWebサイトでは、サービス単体でリスクを判断するのではなく、グループ企業が持つ複数のサービスへの攻撃を考慮してリスクの再検討を進めるべきだ。攻撃が観測され始めた法人向けのSaaS型アプリでも、自動化された不正ログイン対策への警戒レベルを上げる必要がある。

　対策としては、多要素認証や不正ログインbot検知といった基本的な施策に加え、スマートフォンアプリのアクセスを受けるAPI認証サーバの保護も忘れてはならない。

　筆者も、利用しているWebサイトのパスワードを、自動生成された長い文字列のパスワードに変え、実はこれまであまり使っていなかったパスワードマネージャーで管理し始めた。デジタルに大きく舵を切った企業のビジネス戦略とそれを利用する“新しい日常”の生活を、急拡大する不正ログインの脅威から守り抜けるかは、企業と消費者のセキュリティに対するこの一年の意識改革に掛かっている。