不正ログインとは

インターネットは今や生活に欠かせないツールです。ネットショッピングにネットバンキング、SNSなど便利なサービスはいくつもありますが、こうしたサービスでは、利用しやすいようにIDとパスワードを入力してログインする仕組みになっています。便利なのに安全に使えるのがこうしたログイン方式のメリットです。ところが、悪意ある第三者が他人のログイン情報を不正に入手し、勝手にその人のアカウントにアクセスして、金銭や個人情報を盗み出すという犯罪があります。不正ログインは非常に身近な脅威ですので、ここでどんなパターンがあるかを理解するとともに、基本的な対策を知っておきましょう。

攻撃者の意図によって、不正ログインの被害の種類は以下の二つに分けられます。一つは、金銭やデータなどの窃取です。本人しか知り得ないIDとパスワードを使ってアカウントに不正にログインし、本人になりすまして金銭やデータを盗み出すという被害は枚挙にいとまがありません。ネットバンキングに不正アクセスされて現金を盗まれるというニュースもたびたび報道されますので、ご存じの方は多いでしょう。それ以外にも、ポイントサイトに不正ログインされて、ユーザー本人の知らないうちにポイントを全部使われてしまったというケースもあります。

不正ログインの被害のもう一つは、攻撃者の囮や踏み台になってしまうというケースです。あなたのアカウントに不正にログインされたからといって、攻撃者はあなたの持つ金銭やデータを狙っていたとは限りません。実は目的は別のところにあり、そこに侵入するのにあなたのアカウントが好都合なだけだったということもあるのです。攻撃者が自分の足跡を消すための踏み台としてあなたのアカウントを使い、その後の行為をまるであなたがやったことのように仕組まれることもあります。やり方が巧妙な場合、身に覚えのない行為についてあなたが責任を問われることもあり得るので注意が必要です。

不正アクセスによる被害はいろいろありますが、そのなかでも特に多くの被害が報告されているのがネットバンキングの不正アクセスです。正規のユーザーのアカウント情報を何かしらの手段で手に入れた誰かが、そのユーザー本人になりすまして不正にログインします。さらに、送金パスワードまでも解析されてしまうと、気がついた時には口座残高がまるまるなくなっていたなんてこともあり得ることです。

また、ここ数年では「ドリームボット」というウイルスを用いたネットバンキングの不正アクセス事件も多数報告されています。これに感染すると、ネットバンキングを使おうとした時に、ワンタイムパスワードを求める偽のメッセージが表れるというものです。偽のメッセージと気づかずにパスワードを入力してしまうと、口座の現金が攻撃者へと不正送金されてしまいます。

ネットバンキングと同じような手口では、ネットオークションを狙った不正アクセス事件もあります。オークションサイトもネットバンキングと同じく金銭のやり取りが発生するサービスですので、フィッシング詐欺の標的になり得るのです。いつの間にか偽サイトに誘導されて、それと気づかずに送金してしまうといった例が報告されています。

ショッピングサイトへの不正ログインもよくある例です。便利なネットショッピングですが、お店のように売る人と買う人が顔を合わせないため、お互いが本人と確認しにくいという弱点があります。ショッピングサイトを狙う攻撃者はこの点を突いて、不正にログインして本物のユーザーになりますまし、高額な商品を購入するという手口を使います。ショッピングサイトから記憶にない請求があった場合は、不正アクセスの被害に遭っている可能性が高いです。

最近ではSNSのアカウントの乗っ取りも増えています。しばしばニュース等でも報道されていますが、本人の知らない間にSNSのアカウントが乗っ取られ、本人になりすました攻撃者がその友だちに接近するという手法です。SNSの友だちから急に「プリペイドカードを買って、その番号をアップしてほしい」などと依頼された時は、友だちになりすました不正アクセス犯の仕業かもしれません。そういうケースではたいていその前に、「スマホをなくして登録していた電話番号がわからなくなったので教えてほしい」などのメッセージが友だちにあったはずです。言われるまま友だちが電話番号と認証コードを教えてしまうと、犯人はそれを使って新規にアカウントを作り、それを利用して既存の友だちに近づきます。そうやって金銭を要求するという手口です。

企業の情報漏洩事故の多くは、不正アクセスによるものです。企業が持つ顧客情報などの機密情報は高い価値があるため、攻撃者には格好の標的となります。個人の場合、被害に遭ってもその範囲は狭く、不正送金などのケースでは補償もありますが、企業が顧客情報などを漏洩させてしまうとその責任を問われることも多いです。不正アクセスの被害者なのに賠償責任を負うこととなり、その結果、莫大な損失を被って経営が立ち行かなくなることすら十分にあり得ることでしょう。

不正ログインによる被害を防ぐ第一歩として、最初に確認しておくべきことはパスワードの強度です。誕生日などの推測しやすい数字はパスワードに設定してはならないというのが常識ですが、意外とそういう単純な文字列をパスワードに設定している人は少なくありません。サイトごとに新しくパスワードを考えるとなると、覚え切れないと困るからということでなるべく覚えやすいことを考えてパスワードを設定してしまう傾向がありますが、不正アクセスを誘発してしまう可能性を考えると、やはり一つ一つに複雑なパスワードを設定するべきでしょう。

IDやパスワードが増えることと関係して、覚える労力を省くためにブラウザにIDやパスワードを記憶させる人もいますが、これもリスクが高いので避けた方がよいでしょう。確かにログインのたびにIDとパスワードを入力するのは面倒な作業ですが、ブラウザに保存してしまうと、その端末を使う誰もがアクセス可能になってしまいます。面倒でも端末内にアカウント情報を保存するのはやめておきましょう。紙に書いて鍵のかかる引き出しにしまっておくといったアナログな手法が意外と有効です。

OS、アプリケーション、セキュリティソフトなど、関係するものは常に最新の状態を保てるように適宜アップデートすることを忘れないようにしましょう。現時点では問題なくても、時間が経つと新たな脆弱性が発見されることはよくあることです。脆弱性が発見された場合、それを解消したアップデート版がすぐにリリースされるものですから、最新の状態を常に保っておくだけでも不正アクセスのリスクを大きく軽減できるでしょう。

不正ログインによる被害は後を断ちません。攻撃の手口は年々進化しており、それに伴って被害のリスクも高まっているということは言えるでしょう。しかし、被害に遭うケースでは、そもそも十分な対策を取っていなかったというパターンも少なくありません。「うちは大丈夫だろう」と油断せず、被害に遭う前の今のうちに適切な対策を取っておくことをおすすめします。

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。