【第1回】「なりすまし攻撃」の最新動向

IT・IT製品TOP > Key Conductors > 島津 敦好(CapyInc.) > 【第1回】「なりすまし攻撃」の最新動向
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

【第1回】「なりすまし攻撃」の最新動向

エンドポイントセキュリティ 2014/12/12

はじめまして。不正ログイン対策ソリューションを提供しております、Capy Inc.の島津と申します。弊社では、サーバの脆弱性や内部関係者からの流出ではなく、「機械や人の手によるなりすまし」を食い止めるサービスをご提供しています。
今回は、なりすまし攻撃の動向について、オーバービューをさせていただきます。

■不正アクセスとは?

まず、インターネット上のサイバー攻撃の全体像から、お話させていただきます。

最近のサイバー攻撃事件のニュースで、よく見られる言葉に「不正アクセス」という言葉があります。一括りに不正アクセスと言っても、手法は色々なものがありますので、分類・整理をさせていただき、対策のご説明をさせていただきます。IPA(独立行政法人 情報処理推進機構)によると、「不正アクセス」には下記の内容が含まれています。

1.コンピュータのOSやアプリケーションあるいはハードウェアに存在する脆弱性(セキュリティホール)を利用して、コンピュータのアクセス制御機能を迂回し、コンピュータ内に侵入する行為(侵入行為) (企業のDBに侵入し、データを不正取得するもの)

2.持ち主の許可を得ずに、その持ち主の利用者 ID およびパスワードを第三者に提供する行為(内部関係者からの流出)

3.他の人に与えられた、利用者IDおよびパスワードを、その持ち主の許可を得ずに利用して、持ち主に提供されるべきサービスを受ける行為  (『なりすまし・不正ログイン』行為)  

今までのサイバー攻撃の主体は、1、2の2つの割合が大きく、3のなりすまし攻撃による件数は全体の割合は相対的に少なかったです。

そのため、サイバー攻撃への対策は主として、
1)サーバ・ネットワークのセキュリティの向上
2)内部統制・コンプライアンスの強化
が企業のセキュリティ対策としてはメインになっていました。

■なりすまし・不正ログインの動向

しかし、不正ログインの被害は2013年に入って、激増しました。警察庁による不正アクセス事件のうち、利用権者のパスワードの設定・管理の甘さにつけ込んだものが767件と79.5%を占めるに至りました。
【警察庁 2014年3月27日「平成25年中の不正アクセス行為の発生状況等の公表について」】
https://www.npa.go.jp/cyber/statics/h25/pdf040.pdf  

本年も公表されている被害件数は大手のクレジットカードサイト、SNSサイト、運輸サイト、通信キャリアサイト、ゲームサイトはじめ25社から、30件の被害報告が確認されています(9月30日時点)。中には、個人のアカウントだけではなく、法人のアカウントの流出が確認されている事件までありました。
また、公表されている不正ログインによる個人情報の流出件数を合計すると、今年の9月末時点で80万件ほどに達し、なんと、1日あたり2700件程度となっています。公開情報がもしも、氷山の一角であれば、もっと多くのユーザの個人情報が流出していると考えられます。

■不正ログイン急増の背景

日本のインターネットユーザの「ID/パスワードの使い回し」は、62%が1〜3種類を使い回していると言われており、Webサービス運営事業者、インターネットユーザにとって、非常に大きな脅威となっております。 
【株式会社シマンテック社 2013年10月30日「個人・企業のパスワード管理」】  
http://www.rbbtoday.com/article/2013/10/31/113430.html

不正ログインの原因としては、次の3つがあると思います。
1)ID/パスワードの使い回しによって、一度、流出すると、他サービスでのアカウントも芋づる式に流出されること。
2)流出したデータが裏で売買されることで、ハッカー間での個人情報のシェアが進み、攻撃の精度が上がってしまうこと。
3)DBへの侵入などの高度な技術ではなくても、個人情報リストを取得すれば、なりすませるという、サイバー攻撃のやりやすさが飛躍的に向上していること。

■なりすましログインの手口とは?

それでは、なりすましログインの手口はどのように行われるのでしょうか。手口は主に、手動によるなりすまし攻撃によるものとプログラムによる自動化された攻撃があります。特に、後者による攻撃回数は驚異的な数値がでており、公開情報だけでも、3380万回以上が確認されています(あるケースでは、たった2日間で1100万件以上のなりすまし攻撃が確認されています)。

攻撃者の攻撃手段は二段階に分けられます。
1)ログイン可否を確認するために、プログラムによる攻撃
2)ログイン成功確認後、手動による個人情報の取得・ポイント交換・不正購入・不正送金

つまり、なりすまし・不正ログインを防ぐには、第一弾のプログラムによる機械的な動きを食い止めることが有効な打ち手になるんです。

■なりすまし・不正ログインへの打ち手とは?

【CAPTCHA例】

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

【CAPTCHA例】
従来、このような不正なプログラムによる不正ログイン対策ツールとしては、歪んだ文字(CAPTCHA)を入力させるという手法がありました。
しかし、この対策もOCR(光学文字認識)技術の進化により、徐々にその効果が無効化されてきました。例えば、google chromeの拡張機能であるRumolaなどのツールを駆使すると、歪んだ文字を手入力することなしに、ログインすることが可能になります。
【Rumola: https://www.youtube.com/watch?v=zHdss6kFApY

■進化するプログラム攻撃を防ぐために

上記のリスクを考慮して、歪んだ文字の利用から、弊社サービスへの「乗り換え」をしていただくお客様も増えてきています。実際、歪んだ文字設置ページヘのプログラムによる攻撃で、突破が確認されている事例も確認されています。  弊社はテキスト解析できない画像を用いて、セキュリティを高め、PC,スマートフォンでもユーザがストレスフリーに認証できるサービス開発を進めており、20以上の企業さまのWeb使途の玄関口、会員登録ページ・ログインページヘの不正プログラムの攻撃をお守りしております。

12月8日にテレビ東京系列、経済ニュース番組「WBS(ワールドビジネスサテライト)」で、Capyが特集されました!
次回もお役に立てる情報を発信していきますので、どうぞお楽しみに!

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007655


IT・IT製品TOP > Key Conductors > 島津 敦好(CapyInc.) > 【第1回】「なりすまし攻撃」の最新動向

このページの先頭へ

キーマンズネットとは
新たなサイバー攻撃である不正ログイン防止に関するコンサルタントとして、リスト型攻撃、手動によるなりすましを防ぐためのソリューションを提案。現在までにワールドビジネスサテライト、日経新聞などのメディアを通じて、インターネット事業者に不正ログイン対策への啓蒙活動を進めている。

ページトップへ