コロナ禍で増加する不正ログイン 2021年に狙われる業界は?:「見えないWeb攻撃」──情報漏えい対策の盲点(2/2 ページ)
2020年に公表されたサイバー被害の傾向などから、世界と国内で起きたWeb攻撃からその背景や狙いを読み取り、2021年に取るべき重点対策を考えていく。今回は、その中でも昨年顕著な伸びを見せた、成り済ましによる不正ログイン攻撃について取り上げる。
日本では、アカウントに溜まったポイントを他の共通ポイントに交換して、不正購買や現金化を試みる手口が多い。20年は電力会社の他に量販店や百貨店などの小売業、鉄道会社などでポイントを窃取された被害が報告されている。犯罪者にとって、現金化が容易なポイントは格好の標的だ。利益が出れば同業種でその手口を繰り返す傾向があるので、すでに被害の出ているこれらの業界では重点的な対策が必要といえる。
特に旅客や旅行業界は、世界的な移動自粛の影響下でもビジネスを継続するために顧客向けサービスの一環としてポイントの付与キャンペーンを打ち出すが、一方でセキュリティに割く予算を削減せざるを得ない状況に置かれている。
しかし、犯罪者はずる賢くその”すき”を狙っており、実際、不正ログインbot対策をやむなく中止したサービスが、間を置かず被害に遭うケースも出てきている。苦境の中で、Eコマース戦略に活路を見いだそうとする業界では、デジタルビジネスへのダメージを考慮した、ハイレベルなセキュリティへの投資判断が企業の経営陣に求められる局面が増えていくと予想される。
ビジネスアプリへの攻撃はフィッシングへの布石?
この他、20年の国内企業への不正ログインで気になったのが、12月に報告された、プロジェクト管理やコラボレーションを行うビジネスアプリケーションへの10万回の不正ログイン試行が観測された事象だ。
一般的に、botによるパスワードリスト型攻撃は、発信元偽装のためのProxyサーバのレンタル費など攻撃側にも一定のコストがかかる。このため不正送金や不正購買、共通ポイント窃取など、現金化の手順が想像しやすいサービスが標的になる傾向があったが、直接利益を得られないビジネス系アプリケーションが狙われたことは注目に値する。
この他にも、システムインテグレーターの法人パートナー用会員サイトのログイン情報漏えいが報告されるなど、20年後半から従業員や取引先の個人情報を狙った被害報告が国内でも目立つようになってきた。
このようなビジネス向けアプリのアカウントには、マルウェア「Emotet」で昨年注目された「成り済ましメール」に利用できるメールアドレスや氏名、過去のコミュニケーション履歴などの情報が含まれる。つまり、企業内への侵入を図る「成り済ましメール」の元データを得る手段として、SaaSベースのビジネスアプリに対して不正ログイン試行が行われている可能性を、本格的に考慮すべき段階に入ったといえるだろう。
2021年、不正ログインの重点対策ポイントは?
このように、不正ログインの試行はシンプルだが強力な攻撃手法であり、窃取された情報は犯罪者間の売買を通じてあらゆる攻撃の起点になり得る。不正ログインを許したアカウントに含まれるメールアドレスや電話番号は、いま社会問題となっているフィッシング、特にSMSを悪用したもの(スミッシング)にも流用される。
消費者向けサービスを提供しているWebサイトでは、サービス単体でリスクを判断するのではなく、グループ企業が持つ複数のサービスへの攻撃を考慮してリスクの再検討を進めるべきだ。攻撃が観測され始めた法人向けのSaaS型アプリでも、自動化された不正ログイン対策への警戒レベルを上げる必要がある。
対策としては、多要素認証や不正ログインbot検知といった基本的な施策に加え、スマートフォンアプリのアクセスを受けるAPI認証サーバの保護も忘れてはならない。
筆者も、利用しているWebサイトのパスワードを、自動生成された長い文字列のパスワードに変え、実はこれまであまり使っていなかったパスワードマネージャーで管理し始めた。デジタルに大きく舵を切った企業のビジネス戦略とそれを利用する“新しい日常”の生活を、急拡大する不正ログインの脅威から守り抜けるかは、企業と消費者のセキュリティに対するこの一年の意識改革に掛かっている。
関連記事
- 攻撃の認識すら不可能 Webサイトを静かに狙う「Magecart」攻撃の実態
Webからこっそりクレジットカードなどの情報を抜き取る「Webスキミング」攻撃。すでに自社で防御しているだけでは防げない攻撃手法も。CDNサービスを手掛けるアカマイ・テクノロジーズの中西一博氏がその実態を解説する。 - ウイルスには“ワクチン注射” 記録に残らない「Webスキミング攻撃」の可視化と対策の最前線
“見えないWeb攻撃”の一つである「Webスキミング」にどう対抗すればいいのか。CDNサービスを手掛けるアカマイ・テクノロジーズの中西一博氏が対策方法の最前線を解説する。 - 不正送金問題で暗躍する「不正ログインbot」 大量にアクセスされても“見えない”理由
ドコモ口座やゆうちょ銀行などを巻き込んだ不正送金事件。事件の手口には未だ謎が残っており、単純な話では終わらなさそうだ。今回は「見えない不正ログイン」という観点から、こうした犯行の手法や、事件を取り巻く背景を改めて考察してみたい。
Copyright © ITmedia, Inc. All Rights Reserved.