企業リスクとしてのサイバー攻撃「不正アクセス」について

株式会社エアー 中島 治

つい最近、衝撃的な事件が起こりました。
それは、QRコード決済サービス「7pay」の不正利用です。
QRコード決済サービス「7pay」の不正利用の被害は、被害者が1574人で3240万688円との発表がありました。
これから東京オリンピックに向けキャッシュレスを普及していこうとする日本において、それら関係者への衝撃はかなり大きかったのではないでしょうか。

「7pay」を不正利用した犯人が何人かつかまっていますが、これらは不正に入手したとおもわれる他人の個人情報を持っていました。
何らかの方法で他人の個人情報を手に入れ、不正に悪用していたわけです。
QRコード決済、電子マネー等ではそういうことが行われる可能性があることを想像はしていましたが、本当に起こるとはびっくりです。

ちなみに不正アクセスによる実際の被害については、以下のようなものがあります。
 
 ・ECサイト内でポイントを不正に利用する。
 ・SNSアカウントを乗っ取り、不正使用や不正投稿を行う。
 ・個人情報を流出させる。
 ・企業秘密を漏洩させる。
 
ではどうやって不正にパスワードなどを盗むことができるのか、サイバー攻撃の手法について調べてみました。
以下の攻撃手法は、情報セキュリティマネジメント試験などにも出題されるよく知れた攻撃手法です。
 
 ・ブルートフォースアタック
  Webアプリケーションやサービス、システムに対してパスワードの総当たり攻撃を行い、暗号を解析し、不正にログインする攻撃です。
  とにかく力業で解析することを特徴としています。
  
 ・パスワードリストアタック
  不正に入手したID・パスワードリストを用い、正規ルートからの不正アクセスを試みる攻撃です。
  多くのユーザが共通したID・パスワードを用いる傾向を利用した攻撃手法です。
  他の不正アクセスと異なり、正規のログイン方法を試みる手法であるため、プログラムによる検出が難しいことが特徴です。

個人情報流出に関する、実体験があります。
あるときプライベートで使用するメールアドレスに、とあるメールが届きました。
そのメールにはなんと、実際に自分が設定し利用しているパスワードが書かれていたのです。それは脅迫メールだったのです。
利用するほとんどのWebサイトやSNSで使っていたパスワードだったので、かなり焦りましたが、慌ててお金を支払うことはしなかったです。
とにかく急いで各サイトのパスワードを変更するなど、対応に大変苦労しました。
ではなぜ、メールアドレスはまだしも、パスワードまで漏れてしまったのか・・・

どうやらSNSやWebアプリケーションに登録した各サイトのデータベースが不正に入手され、売買されているという事実があるようです。
それらが脅迫メールに利用された可能性は高いと思われます。 

ウェブにはだれでもアクセスできる表層部分と、簡単にはアクセスできない深層部分、そして専用のソフトがないとアクセスできないダークウェブが存在しています。
そのダークウェブでは、メールアドレス、クレジットカードデータといった個人情報や、ドラッグ、偽札、児童ポルノまで、さまざまな分野の違法取引が横行しているそうです。
自分の個人情報が取引されていると考えるとぞっとしますよね。

ダークウェブで入手した情報をもとに、最初は個人への不正アクセスでも、最終的には企業リスクへ発展します。
不正アクセスで入手した個人情報をもとに、標的型攻撃へと移行し大きな企業リスクにつながります。 

だからこそ個人でできる不正アクセス対策はとても重要です。
最近ではダークウェブを監視するサービスや製品がありますので、それらを利用するのも対策の一つです。

 ・ダークウェブサイトを監視する製品例
  シマンテック ノートンダークウェブ モニタリング など

また、個人でできる不正アクセス対策もありますのでぜひ実践しましょう。

 ・パスワードは使いまわさない。
   これはパスワード管理ソフトが必要です。
  
 ・二段階認証を利用する。
   GoogleのOTPはお勧めです!
  
 ・不自然なアクセスに対する制限やアラートを設定する。
   SNSを利用するなら必ず設定しましょう!

タイトルとURLをコピーしました