不正ログインとは？被害事例や対策を徹底解説！

近年、ニュース等でよく耳にする不正ログインの被害。その不正ログインをはじめとした不正アクセス行為全体の発生状況は、新型コロナウイルス感染症感染拡大を経て、急増しています。

不正ログインを効果的に防止するためには、まず現状を知ることが先決です。そこで今回は、不正ログインとは何か、そしてその原因や被害事例、対策について解説します。

不正ログインとは？

不正ログインとは、IDとパスワードなどを不正に取得した悪意ある第三者が、正規ユーザーになりすまして、各サービスなどのアカウントに不正にアクセスする行為のことです。

ターゲットは、オンラインゲームやコミュニティサイト、会員専用サイト、ECサイト、電子メール、インターネットバンキングなど多岐に渡ります。

不正ログインする目的は、金銭や個人情報、蓄積されたデータを窃取したり、何か他の不正な行為を行う目的に利用したりすることなどが挙げられます。

不正ログインは不正アクセスの一つです。令和4年に都道府県警察から警察庁に報告のあった不正アクセス行為を対象としたデータによると、認知件数は2,200件であり、前年の1,516件と比較して急増しています。
不正アクセス後に行われた行為別の内訳については、「インターネットバンキングでの不正送金等」が最も多く1,096件となり、次いで「インターネットショッピングでの不正購入」で227件、「メールの盗み見等の情報の不正入手」215件の順となりました。

出典：警察庁他「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」

不正ログインによる被害事例～ユーザーと企業の観点から考える

不正ログインによって、どのような被害が起きているのでしょうか。ユーザーと企業両方の観点から、3つの業界での被害事例をご紹介します。

・ネットバンキング業界

Aさんは、銀行の個人口座にインターネットバンキングを利用していましたが、あるときその銀行を名乗る業者からメールが届きました。メールの内容は簡単なお知らせの後、パスワードを変更してセキュリティ対策をするよう呼びかけるものだったので、早速メールに記載されているサイトにアクセスして、画面の誘導通り、パスワード変更手続きを完了しました。後日、ネットバンキングにログインしようとしたところ、変更したはずのパスワードでログインができず、前のパスワードで試したところ、ログインできました。しかし預金口座の残高が0円になっているのに気づいたのです。これはよくあるフィッシングによる不正ログインの被害事例です。

・EC業界

Bさんは、あるアパレルショップのECサイトをよく利用していましたが、あるときECサイトにログインすると、身に覚えのない購入履歴が見つかりました。Bさんは支払情報としてクレジットカード情報を登録していたため、そのクレジットカードで不正ログインをした何者かに勝手に買い物をされてしまったのです。後日、クレジットカードに高額の請求が来たことは言うまでもありません。原因は、Bさんが被害に遭う前に、ECサイトそのものに不正アクセスがされ、会員の個人情報が多く流出したことだと判明しました。

不正ログイン対策のために

・ゲーミング業界

Cさんは、オンラインゲームが趣味で、そのゲーム内で楽しめるアイテムを課金して集めるのが楽しみでした。ある日、ログインしたところ、課金して集めたアイテムがごっそり無くなっていたことに気付きました。何者かが不正ログインをして、他のユーザーに売ってしまったようでした。後日、すでに辞職した仲の良かった会社の同僚にIDとパスワードを教えたことがあったのを思い出しました。

いずれも、個人ユーザーが金銭的被害に遭った事例ですが、EC業界の事例では、企業のECサイトそのものが攻撃を受けています。不正ログインは、個人ユーザーにも企業にも大きな被害を被るものだとわかります。

不正ログイン対策のために

不正ログインに対しては、日頃から予防策をとっておくことが重要です。そのためにユーザー側、企業側でそれぞれ対策すべきことをご紹介します。

ユーザ側の対策

・ID・パスワードの設定・管理を強化

日頃のIDとパスワードの管理が甘いことは、攻撃者の思うつぼです。誕生日など類推しやすいものをパスワードに使うのを避けるほか、桁数や使用する文字種を増やすなど強固なパスワードを設定することが重要です。また、その管理も強化する必要があります。たとえ身内や知り合いであっても安易に教えない、盗み見されないようにするなどの対策が求められます。

・フィッシングに敏感になる

メールやSNSなどではフィッシングが横行しているため、何か不審なメールが届いたらまず疑うことが大切です。そしていつも利用している業者を名乗るものであっても、本当にその業者から来たのかを疑うステップが必要です。

・怪しいリンクやプログラムをクリックしない

不正なプログラムによって個人情報を窃取される可能性も考え、不審なリンクやプログラムは安易にクリックしないようにすることが必要です。

不正ログイン対策のために

・不正ログイン対策が強化されているサービスを選択する

最近では不正ログイン対策を徹底している事業者も増えてきており、そうした厳しい管理体制を敷いているサービスを選ぶことも一つの方法です。

企業側の対策

・不審なログインの識別体制を整備する

正規ユーザーが通常使用するIPアドレスや時間帯と異なる、不審なログインを検知し、不正を早期に知らせる仕組みを構築しておくことが重要です。

一般的には、不正なアクセスを検知し、管理者に通知を行う機能を持つシステムを導入します。これにより、管理者は通知を受け取った後、すぐにブロックするなどセキュリティを確保するための対処を行うことができます。同時に、攻撃を検知したら、すぐに防御する仕組みを用意することも重要です。

・パスワードの適切な設定を促す

サービス提供側として、ユーザーにパスワードの設定を、容易に推測できない強力なものにするよう促すことが大切です。また、パスワードの管理についても注意喚起することで少しでもリスクを減らすことが求められます。

・顧客情報の適切な管理

ID・パスワードはもちろんのこと、顧客情報全般についての管理を社内で徹底することが重要です。過去に離職した従業員による被害もあるため、離職者が既知の情報で顧客情報にアクセスできないよう、定期的に管理体制やパスワードを変更するなどして対処する必要があります。

・認証を強化する・フィッシング情報をユーザーに周知する

フィッシングの被害を事業者の側からも防ぐことも重要です。例えばワンタイムパスワードや二要素認証の導入などが考えられます。また自社を偽ってフィッシングメールを送る者がいるとの情報をユーザーに周知し、注意喚起を行うなどの措置を講ずることが求められます。

・セキュリティホール攻撃への対策

ECサイトやプログラムのセキュリティホールなど脆弱性を事前にふさいでおくことが重要です。SQLインジェクション攻撃やウェブサーバの脆弱性に対する攻撃等のセキュリティホール攻撃への対策を求められます。

まとめ

不正ログインについて解説してきました。コロナ禍で急増した不正アクセスに備え、不正ログイン対策は、一ユーザーとして、一企業として共に対策を徹底して講じることが求められます。

F5が提供する「F5 Distributed Cloud Bot Defense」は、高精度の機械学習と強力な人工知能により、ログインなどのリクエストが悪意のあるBot（ボット）かどうかを判断するソリューションです。そして専門チームによる対策も合わせてご提供します。進化する攻撃パターンやツールに対応し、途切れることなく保護するこの仕組みは、不正ログイン対策として最適です。