不正アクセスの発生状況とSMS認証を活用した対策

警視庁のサイバー犯罪対策プロジェクトで公開されている「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(H31.3.22掲載)」によると、再び不正アクセスが増えてきています。フィッシング詐欺を利用した悪質なものから若年層による軽率なものまで、利用者のパスワード管理の甘さにつけこんだ不正が目立ちます。ここでは警視庁が公表しているデータを元に不正アクセスの対策について考えていきます。

不正アクセスが再び増え始めている

不正アクセス被害件数の推移

2017年(平成29年)までは減少傾向にあったものの、2018年(平成30年)から不正アクセスが増え始めています。警視庁が公表している認知数は、被害届の受理数と被疑者に新たな不正アクセス行為の余罪を確認できた数、報道やその他資料で発表された数の内、事業者に確認が取れた数を指しています。

つまり、実際に被害にあったユーザの数はもっと多いということです。例えばLINEの 2020年2月の不正ログイン被害者数は4,000人以上あったとLINE社が発表しています。

不正アクセスで被害件数が多いのは娯楽コンテンツ

不正アクセス後の行為

過去5年間の不正アクセス後の行為を見ると被害内容の傾向が変化していることが分かります。2014年(平成26年)は圧倒的にネットバンキング関連の被害が多かったのに対し、2017以降は情報の不正入手や娯楽コンテンツの不正操作が目立ちます。

さらに2017年(平成29年)と2018年(平成30年)の不正アクセス後の行為内容を比較すると、メールなどからの情報不正入手が大幅に伸びています。続いて増えているのが、オンラインゲームやコミュニティサイトの不正操作、仮想通貨の不正送信、ネットショッピングでの不正購入、ネットオークションでの不正操作です。スマホやアプリの普及でネット上の娯楽や買い物が便利になった反面、不正アクセスによる被害のリスクも増加傾向にあると言えます。

また、一旦落ち着いたように見えたネットバンキングの不正送金被害も2019年秋から再び増えてきています。インターネット上で利用しているサービスは提供者も利用者もパスワードの管理やフィッシングメールに十分に注意しなければなりません。

ネットバンキングに係る不正アクセス被害の防止対策について(警視庁)

パスワード管理の甘さを利用した手口が多い

不正アクセスの手口

不正アクセス手口

識別符号窃用型とは、他人のパスワードを不正に利用したアクセスをいいます。専門的な知識を使った高度な手口よりも、利用者のパスワードを推測してログインに成功しているケースが多くみられます。容易に推測できるパスワード(IDと同じ文字列、誕生日や電話番号等)に設定している・パスワードの使い回し等、パスワード管理の甘さが不正アクセスの原因とされています。

若年層による不正アクセスの増加

年代別不正アクセス検挙者

不正アクセス動機

2018年(平成30年)に検挙された被疑者の年代内訳を見ると、10代〜20代の若年層が多いことが分かります。動機としては、好奇心を満たすため、ゲームやコミュニティサイトで不正操作をするためとされており、若年層の犯罪意識の低さが伺えます。
2018年だけに限らず、警視庁は若年層による不正アクセスが年々増えているとウェブサイトで発表しています。

不正アクセスやなりすまし防止対策

1.パスワードの適切な設定・運用体制の構築

利用者が容易に推測されるパスワードを設定できないようにし、利用権者が通常使用するデバイスやIPアドレスや時間帯等と異なる不審なログインを早期に検知する運用体制を構築する。

<パスワード設定条件例>

  • 文字数や大文字、小文字、記号を必須にする。
  • 登録している名前、生年月日、電話番号と同じ文字列を設定できないようにする。
  • 他のサイトで利用しているパスワードと同じに設定しないように注意喚起をする。

2.ID・パスワードの適切な管理

利用者のIDやパスワードを知り得る立場にある従業員や委託先の管理を徹底する。従業員や委託先がデータにアクセスする立場でなくなった場合には割り当てていたログインIDやパスワードを速やかに削除したり、共通のパスワードを変更したりする等を徹底。

3.不正アクセスへの対策

利用者が普段使わないデバイスやIPアドレスからログインが合った場合に、利用者が登録している携帯番号へワンタイムパスワードを送りパスワードを入力させる等の二段階認証を導入し認証を強化する。

4. セキュリティ・ホール攻撃への対応

定期的にサーバーのプログラムを点検しセキュリティの脆弱性を解消し、攻撃をすぐに検知できるシステムを導入し、SQLインジェクション攻撃やセキュリティ・ホール攻撃に対する監視体制を強化する。

不正アクセスを防止対策にSMS認証を

不正アクセスを防止対策の一つとして考えられるはSMS認証APIを各種アプリケーションやサービスに実装する事です。近年ではセキュリティ強化の一環として、ウェブサイト、アプリの会員登録や更新、登録時の本人確認の一つとして利用されています。
 
よくあるパターンとしては、別のデバイスでログインを試みたときに不正アクセスやなりすましを防止するために、電話番号宛に認証コードが配信される仕組みとなっています。それによりサービス提供側は複数アカウントを持つことを防止するだけでなく、アカウントの乗っ取りによる深刻な被害を発展させないようにさせます。

 

なぜSMS認証が本人確認に適しているのか?

既に電話番号を発行した段階でパスポートや免許証などを提示していることもあり、本人確実性が他のサービスと比べて高い事が大きな理由です。電話番号は既に本人であることが証明されている人に発行されているため、企業・個人が不正利用をトラブルを防ぐ認証ツールとして導入されています。

仮にEmailであれば悪意のある第三者が簡単に発行でき、企業や団体を装って偽装メールを送信する事ができが、身分証明をしなければ発行する事ができません。一方で電話番号は契約時にキャリアの審査を通過しなければ発行できない情報です。加えて携帯端末を所持していなければSMSを確認する事ができません。

仮に悪意あるユーザーが一段階認証でIDかパスワードが盗まれても、二段階認証で活用される認証コードは付与された端末にしか発信されません。そのため、端末を所有する人しかワンタイムパスワードやコードを確認するのは本人となるからです。

だからこそ、SMS認証APIサービスは企業がセキュリティ対策の一つとして導入されています。

SMSが本人確認に適している理由としては下記の通りです。

 

  • 携帯番号に送られるメッセージだからスマホや携帯電話の持ち主(本人)しか確認できない
  • 携帯電話を契約する際に本人確認書類(免許証やパスポート)を提示して本人特定を完了している
  • 電話番号はキャリアの審査を受け、通過した人のみに発行される情報

CM.comのSMS認証APIサービスの特徴

SMS認証API

従来のSMS認証はSMS配信用のAPIを使って構築しているため、パスワードの生成や認証機能を別途開発する必要がありました。

CM.comが提供するSMS認証専用のAPI連携サービスは、パスワードの生成・認証・配信が一つのAPIで実装する事ができます。企業が求められるサービスをシームレスに提供できるだけでなく、他社サービスと比べてもショートメッセージの到達率が非常に高いのが強みです。さらにはシンプルなAPIで設計されていることもあり、開発を担当するエンジニアは簡単に実装する事ができます。また、SMSの配信料も1通10円未満と他社よりも安く設定されているためコストを抑える事ができます。

既にSMS認証を実装されている企業や独自の方法でパスワードの生成や認証をおこないたい企業様にはSMS配信APIをご利用いただけます。

SMS認証が必要とされる場面

  • ECサイトやアプリの新規登録やログイン時
  • 漫画読み放題、音楽・映画配信の定額制サービスを別の端末から利用する時
  • 各種SNSやゲームやアプリで本人確認が必要な時
  • 金融、オンライン証券、保険サービスなど出入金や取引発生時
  • ポイントサービスで発行されたポイントを引き出す時

不正アクセス・ログイン対策にSMS認証APIを!

 不正アクセスやログインが年々増加傾向にある現代では、企業や個人が各が抱える情報を守る意識が求められるでしょう。

ネットバンキング、オンラインゲーム、コミュニティサイト、EC、ジャンル問わず不正アクセスが再び増えている今、貴社の利用者を守るためにSMS認証を取り入れてみてはいかがでしょうか。

SMS認証APIサービスに関する記事

CM.comブログ編集部

CM.comブログ編集部

SMS配信や+メッセージ、WhatsAppなど各種チャネルや電子署名に関する情報を発信しています。

Topへ