第7回・なりすましによる不正ログイン
なりすましによる不正ログインとは、不正な手段で入手した他人のIDとパスワードを使って、本人になりすましてインターネット上で提供されているサービスのアカウントにログインすることを指します。パスワードが漏れてしまう原因としては、フィッシング詐欺やSQLインジェクションによる情報漏えいもありますが、他のサービスのアカウントと同じパスワードを使っていたり、IDやブログの記事から容易に類推される簡単なパスワードを使っていたりなど、利用者のパスワード管理の甘さによるものも少なくありません。また、ネットワーク管理者の会話を盗み聞きしたり、利用者になりすまして管理者に電話でパスワード変更を依頼するなどの「ソーシャルエンジニアリング攻撃」と呼ばれる手法を使ったパスワードの不正入手も増えています。
一般的なパスワード認証では、正しいIDとパスワードが入力されれば、本人と認証されてしまいます。情報漏えい以外による原因でパスワードが他人に知られてしまった場合は、利用者本人の責任という考え方もありますが、その原因を特定することは困難です。不正ログインで乗っ取られたネットオークションのアカウントが詐欺に悪用されたり、金融機関の口座から資金が不正に引き出されたりする事件が多発して、サイト運営会社が利用者の損失を補填するケースが増えています。そのため、不正ログインへの対策強化はサイト運営会社にとっても大きな課題になっています。
【トラブル事例】
2008年11月12日、イーバンク銀行の8つの口座が不正ログインされ、合計140万円が不正に引き出されるという事件が発生しました。直接外部の口座に送金すると身元がすぐに判明してしまうため、犯人はまず口座の資金を電子マネーに換金し、オンラインゲーム上で電子マネーを使ってアイテムを購入、さらにそのアイテムを換金するという手口で最終的に現金を手にしていたことがわかりました。イーバンク銀行は、不正ログインの事実が判明した12日の午後9時に不正ログインに使われたIPアドレス帯域にログイン制限をかけ、翌日午前中に制限を解除しました。
まず実施すべき対策としては、利用者にパスワード管理について注意を呼びかけることがあげられます。今年5月から、ヤフージャパンはログインアラート機能の提供を開始しました。ログインがあるごとに通知メールが配信され、誰かが不正ログインを試みていると気づけばログイン制限をかけることもできます。不正ログインの被害にあったイーバング銀行では、指定したIPアドレス以外からのログインを制限する「IP制限サービス」を提供していて、その利用を推奨しています。ログインを監視・管理できるツールを提供することで、利用者に不正ログイン防止に協力してもらおうという考え方です。
| パスワード管理の注意呼びかけ | IDなどから簡単に類推されそうなパスワードや、他のサイトと同じIDやパスワードを使わないよう利用者に注意を呼びかける。 |
| 不正ログイン監視の強化 | 利用者のログイン履歴やIPアドレスの位置情報などから、不審なログインを監視して、必要に応じてログイン制限の措置を取る。 |
| ログインアラート機能の提供 | ログインするごとに、利用者に通知メール(アラート)を配信。利用者がログイン制限をかけられる機能などを提供する。 |
| ワンタイムパスワードの採用 | アカウント保有者にワンタイムパスワード生成装置(トークン)を配布して、1回限り有効のパスワードで本人認証を行う。 |
ネットバンキングやオンライン証券など、不正ログインによる被害が大きくなる金融サービスでは、ワンタイムパスワードを導入する例が増えています。ジャパンネット銀行は、2006年9月からハードウェアトークン型のワンタイムパスワードによる認証に統一しました。口座開設者全員にワンタイムパスワードを生成する小型装置(トークン)を配布して、そのトークンに表示されるパスワードで本人認証を行う仕組みです。不正ログインの監視強化に加え、今後は不正ログインが発生しにくい認証方法の採用が進むと予想されます。
-----------------------------------------------------------------
◎初出:2009年5月25日
-----------------------------------------------------------------
| 固定リンク
