BLOG

ブログ
ブログ

不正アクセスの発生状況とSMS認証を活用した対策

警視庁のサイバー犯罪対策プロジェクトで公開されている「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(H31.3.22掲載)」によると、再び不正アクセスが増えてきています。フィッシング詐欺を利用した悪質なものから若年層による軽率なものまで、利用者のパスワード管理の甘さにつけこんだ不正が目立ちます。ここでは警視庁が公表しているデータを元に不正アクセスの対策について考えていきます。

 

不正アクセスが再び増え始めている

不正アクセス被害件数の推移

2017年(平成29年)までは減少傾向にあったものの、2018年(平成30年)から不正アクセスが増え始めています。警視庁が公表している認知数は、被害届の受理数と被疑者に新たな不正アクセス行為の余罪を確認できた数、報道やその他資料で発表された数の内、事業者に確認が取れた数を指しています。

つまり、実際に被害にあったユーザの数はもっと多いということです。例えばLINEの 2020年2月の不正ログイン被害者数は4,000人以上あったとLINE社が発表しています。

 

娯楽コンテンツが不正アクセスの被害を受けやすい

不正アクセス後の行為

過去5年間の不正アクセス後の行為を見ると被害内容の傾向が変化していることが分かります。2014年(平成26年)は圧倒的にネットバンキング関連の被害が多かったのに対し、2017以降は情報の不正入手や娯楽コンテンツの不正操作が目立ちます。

さらに2017年(平成29年)と2018年(平成30年)の不正アクセス後の行為内容を比較すると、メールなどからの情報不正入手が大幅に伸びています。続いて増えているのが、オンラインゲームやコミュニティサイトの不正操作、仮想通貨の不正送信、ネットショッピングでの不正購入、ネットオークションでの不正操作です。スマホやアプリの普及でネット上の娯楽や買い物が便利になった反面、不正アクセスによる被害のリスクも増加傾向にあると言えます。

また、一旦落ち着いたように見えたネットバンキングの不正送金被害も2019年秋から再び増えてきています。インターネット上で利用しているサービスは提供者も利用者もパスワードの管理やフィッシングメールに十分に注意しなければなりません。

ネットバンキングに係る不正アクセス被害の防止対策について(警視庁)

 

パスワード管理の甘さと犯罪意識の低さ

パスワード管理の甘さを利用した手口が多い

不正アクセスの手口

不正アクセス手口

識別符号窃用型とは、他人のパスワードを不正に利用したアクセスをいいます。専門的な知識を使った高度な手口よりも、利用者のパスワードを推測してログインに成功しているケースが多くみられます。容易に推測できるパスワード(IDと同じ文字列、誕生日や電話番号等)に設定している・パスワードの使い回し等、パスワード管理の甘さが不正アクセスの原因とされています。

 

若年層による不正アクセスの増加

年代別不正アクセス検挙者

不正アクセス動機

2018年(平成30年)に検挙された被疑者の年代内訳を見ると、10代〜20代の若年層が多いことが分かります。動機としては、好奇心を満たすため、ゲームやコミュニティサイトで不正操作をするためとされており、若年層の犯罪意識の低さが伺えます。
2018年だけに限らず、警視庁は若年層による不正アクセスが年々増えているとウェブサイトで発表しています。

 

不正アクセス、なりすまし防止対策

1.パスワードの適切な設定・運用体制の構築

利用者が容易に推測されるパスワードを設定できないようにし、利用権者が通常使用するデバイスやIPアドレスや時間帯等と異なる不審なログインを早期に検知する運用体制を構築する。

<パスワード設定条件例>

  • 文字数や大文字、小文字、記号を必須にする。
  • 登録している名前、生年月日、電話番号と同じ文字列を設定できないようにする。
  • 他のサイトで利用しているパスワードと同じに設定しないように注意喚起をする。

 

2.ID・パスワードの適切な管理

利用者のIDやパスワードを知り得る立場にある従業員や委託先の管理を徹底する。従業員や委託先がデータにアクセスする立場でなくなった場合には割り当てていたログインIDやパスワードを速やかに削除したり、共通のパスワードを変更したりする等を徹底。

 

3.不正アクセスへの対策

利用者が普段使わないデバイスやIPアドレスからログインが合った場合に、利用者が登録している携帯番号へワンタイムパスワードを送りパスワードを入力させる等の二段階認証を導入し認証を強化する。

 

4. セキュリティ・ホール攻撃への対応

定期的にサーバーのプログラムを点検しセキュリティの脆弱性を解消し、攻撃をすぐに検知できるシステムを導入し、SQLインジェクション攻撃やセキュリティ・ホール攻撃に対する監視体制を強化する。

 

SMS認証(二段階認証)で不正アクセスを防止

SMS認証とは

SMS認証とは携帯番号にメッセージを送受信するSMS(ショートメッセージサービス)を活用した、二段階の本人認証方法です。ウェブサイト、アプリの会員登録や更新、登録した時とは別のデバイスでログインしようとした時の本人確認時に利用されています。不正アクセスやなりすましだけではなく、個人が複数アカウントを持つことを防止できます。

SMSが本人確認に適している理由としては下記の通りです。

  • 携帯番号に送られるメッセージだからスマホや携帯電話の持ち主(本人)しか確認できない
  • 携帯電話を契約する際に本人確認書類(免許証やパスポート)を提示して本人特定を完了している

 

SMS認証を導入するためには

SMS認証API

従来のSMS認証は、SMS配信用のAPIを使って構築しています。そのため、パスワードの生成や認証機能を別途開発する必要があります。しかし、CM.comはSMS認証専用のAPIがあり、パスワードの生成・認証・配信が一つのAPIで実装できます。

開発工数が減ってすぐに導入できるだけでなく、開発コストも押さえることが可能です。さらにSMSの配信料も1通10円未満で他社よりも安く設定されています。また、既にSMS認証を実装されている企業や独自の方法でパスワードの生成や認証をおこないたい企業様にはSMS配信APIをご利用いただけます。

ネットバンキング、オンラインゲーム、コミュニティサイト、EC、ジャンル問わず不正アクセスが再び増えている今、貴社の利用者を守るためにSMS認証を取り入れてみてはいかがでしょうか。

 

お問い合わせ