急増する不正ログイン、対策のカギは「正しく怖がる」こと:迷惑bot事件簿(2/3 ページ)
不正ログインの被害が日本社会を揺るがしている。過去1年あまりで報道された大きな被害だけでも10件を超えた。不正ログイン事件の裏側を考察し、起こり得る犯罪と回避策の有効性を検証したい。
日本特有の盲点、狙われる「共通ポイント」
ECサイトのアカウントにひも付く「ポイント」も不正ログインの標的になる。現金やクレジットカードの入出金には気を付けていても、ポイント残高にまで日々気を配っている人はそう多くないだろう。
ポイントを使って直接、商品を不正購入されることもあるが、ポイントを別の共通ポイントに移行し、追跡を難しくした上で現金化する“ポイントロンダリング”の手法もよく用いられている。昨年9月に報じられた「smartWAON ウェブサイト」の不正ログイン被害では、この手法が使われた。日本で普及している共通ポイントの仕組みが悪用されている。
共通ポイントの中にはバーコード方式のものがある。この方式はポイントカードの番号さえ分かれば、コンビニなどの買い物で使えるバーコードを生成できる。番号を入れてコードを表示するスマホアプリも存在する。18年9月の「dポイントカード」の不正利用は、この弱点を突いたものだといわれている。コンビニの店頭には、メッセージアプリを使った「なりすまし詐欺」にもよく悪用される各種のプリペイドカードが並んでいるのはご存じの通りだ。このように犯罪者は、複数の段階を踏んで現金化を試みている。
マイレージがたまっている航空会社のアカウントも狙われている。今年1月、セキュリティ企業Recorded Futureの調査チーム「Insikt Group」は、Airline Fraud-as-a-Service(AFaaS)と名付けた、航空会社のチケットを狙う巧妙な詐欺を警告するレポートをまとめた。レポートで取り上げたウクライナドメインのサイトでは、乗っ取られた航空会社のアカウントが、たまったマイルごとに値段を付けて販売されていることが分かる。
さまざまな手段で不正に入手された航空券は、旅行会社のものを複製したWebサイト上で、主にロシアやその周辺の国々に向け、ディスカウントされた価格で売りさばかれているという。
これらの不正ログインの直接被害に対し、利用者側で採れる自衛策は、不正利用に気付いたら、サイトのカスタマーセンターに連絡し、アカウントを速やかに停止してもらうことだといえる。
特殊詐欺などにも悪用、アカウント情報流出の二次被害
アカウントのペイメント情報を悪用する直接的な犯罪行為だけでなく、登録されている住所、電話番号、購買履歴などの個人情報を、特殊詐欺などの犯罪に二次利用されるリスクも正しく理解しておくべきだ。
次のスクリーンショットは、筆者のスマホにSMSで届いた、フィッシング詐欺に関連すると思われるメッセージだ。どうやら佐川急便の不在通知を装ったメッセージらしい。
その日荷物が届く予定があり、もう少し宅配業者っぽい名前の偽装ドメインから送られていたら、思わずURLをタップしていたかもしれない。普段利用しているECサイトからメールアドレスや購買頻度などの個人情報が流出していれば、さらに“タップされやすい”偽装メッセージを受け取っていただろう。購買履歴、視聴履歴などの行動情報を含む個人情報は、不在通知を装う詐欺だけでなく、増加している「架空請求詐欺」にも利用される恐れがある。
このような二次被害を抑えるためにも、個人情報を預かるサイト側は、これまでより能動的に不正ログイン対策を打つ必要がある。「発覚後にアカウントロックやパスワードを変更」するだけの事後処置では、それ以上の不正購買は抑止できても、いったん流出した個人情報は元に戻らない。
関連記事
- 「7pay」不正ログイン被害で話題「二段階認証」とは?
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題。運営元のセブン・ペイが開いた会見で、記者が「なぜ、二段階認証を導入していなかったのか」と質問しました。ここで問題視されている「二段階認証」とはどのようなものでしょうか。 - 「FamiPayは大丈夫?」ネットで不安の声 ファミマは「不正ログインは起きていない」「二段階認証を使用」と明言
「7pay」問題のあおりを受け、ネット上では「FamiPay」のセキュリティ面を心配する声が出ている。ファミリーマートに見解を聞いたところ、「不正ログインは起きていない」と明言。二段階認証などを使用しており、セキュリティ面に問題はないと説明した。 - クレカ不正利用で暗躍するbotの脅威 セキュリティコード特定は“朝飯前”
クレジットカード不正利用の背景には「ダークウェブ」の存在とbotの悪用がある。botの検知システムを利用することで、被害を未然に防ぐことが可能という。 - チケット購入アクセス「9割がbot」→“殲滅”へ イープラスの激闘を振り返る
今年8月、「e+」への一般先着チケット購入アクセスの9割がbotによるものだった、というニュースが報じられた。あれから4カ月、bot対策はさらに進み、目に見える効果をあげている。
Copyright © ITmedia, Inc. All Rights Reserved.