不正ログイン対策が今すぐ必要な5つの理由

ウチのサイトは大丈夫……？

サイバーセキュリティを脅かす重大な事件が全国各地で発生しているにも関わらず、“実際そこまで手が周らない”というのが現場のホンネ。
Webサイトの入り口とも言えるログイン画面のセキュリティ“不正ログイン対策”もついつい後回しになりがちに……。

でもちょっと待った！
不正ログイン対策こそ、今すぐ取り組むべきセキュリティ問題なのです。

今回は不正ログイン対策について明日からでもはじめるべき5つの理由をご紹介。

「システムに業務を合わせる」妥協は終わりにしませんか。複雑な要件も100%叶える、ベンダー依存のない自社専用EC基盤を。
自社要件を相談する

不正ログイン事件はたった1年の間に2.5倍増加

2013年の不正アクセス行為として、警察庁が認知した件数は対前年比250%増の2951件と急増しました。
特に、他サイトなどから不正に取得したユーザIDとパスワードのリストを使って、不正ログインを繰り返しトライする「パスワードリスト攻撃」に至っては、2013年中になんと過去最高の80万件もの報告があり、社会問題となっています。

不正ログイン増加の背景

不正ログイン増加の背景には、IDとパスワード情報の漏えい件数が増えたこと、ならびにインターネットユーザが同じIDとパスワードの組合せを流用していることなどが挙げられます。
従来の“総当たり攻撃”“辞書型攻撃”に比べて、パスワードリスト型攻撃の成功率は非常に高く、昨年に情報公開された不正ログイン事件では、その成功率が0.15%からなんと27%というものまでがあるほどです。

IDとパスワードだけではもはや無防備同然

従来までログインの主流となっていたIDとパスワードによる認証。
しかし、トレンドマイクロ実施の調査によると、「インターネットユーザの7割が2~3種類のIDとパスワードの組み合わせを使いまわしている」というデータも。

このようなユーザは、残念ながら前述のパスワードリスト型攻撃に対して無防備同然です。
このような数字は、警察庁・各インターネットサービス事業者からの度重なるパスワード変更依頼があっても、依然として変われない現状を表しているのでしょうか……。

結果、他サイトで流出したログイン情報によって、個人情報が別のサイトでも、情報漏えいが起きるという、漏えいが連鎖する原因となってしまっているのです。

ますます巧妙化するハッカーの手口

従来もパスワードリスト型攻撃への対策はいくつか存在しており、「一定期間に同一IPアドレスからのログイン施行をする仕組み」などがその代表的なものでした。
しかし、現行のハッカーは同一アカウントに対して複数のIPアドレスからログイン施行を行ったり、十数分間に一度ログイン施行を実施するなど手口が巧妙化しているのです。

このような進化したハッカー達によって、IPアドレス制御の壁をかいくぐって不正ログインが行なわれるケースが増えてきました。
そのほか私たちが普段よく目にするものとして、ログイン時にIDとパスワードに加えて歪んだ文字を入力させることによって、不正ログインを防ぐという仕組み（CAPTCHA技術）もあります。

しかし、現在はOCR（光学文字認識）技術を利用して解読・突破するというケースまであり、なんとブラウザの拡張機能として誰でも簡単に利用できるレベルにまで普及してしまっているのです。

不正ログイン事件発生による信用損失は甚大なものに

増加する不正ログインによって発生する被害は、不正送金やクレジットカードによる不正な購入、個人情報の不正入手といった直接的な被害だけではありません。
既存顧客のロイヤリティ減少、新規獲得率の低下という中・長期での売上の減少や、賠償および対応労務費の上昇などのコスト増加すらもたらすのです。
また、投資家の信用低下など会社の成長に水を差す可能性もあり、経営に直結する課題となることも。

不正ログインは自社のみならず、流出したIDとパスワードによって、他のサイトにも影響を及ぼす恐れもあり、解決すべき社会問題の1つとも言えます。
今こそ、ユーザとの顧客との接点であるログインページを防衛する対策が求められているのです。

いかがでしたでしょうか。
とっても恐ろしい不正ログイン。

ではいったいどうしたらいいの？という声が聞こえてきそうです……。
気になる対策については、近日ご紹介予定です。

参考

• 警察庁「平成25年中の不正アクセス行為の発生状況等の公表について」
• マイナビニュース「7割の人は3種類以下のパスワードを使い回し – トレンドマイクロ調査」
• Google Chrome 拡張機能「Rumola」