デジタル

不正アクセスで個人情報漏えい 被害が過去最悪ペースで増加

不正アクセスで個人情報漏えい 被害が過去最悪ペースで増加

2019.06.10

国内で通販サイトなどが不正アクセスを受けて個人情報が漏えいする被害が、過去最悪のペースで増えています。背景にあるのは、ボットと呼ばれる個人情報を悪用する自動プログラムによる極めて巧妙なサイバー攻撃の拡大です。

去年からことしにかけて、大手を含む通販サイトが不正アクセスを受け、顧客の情報を盗み出されたり、盗んだポイントを使って買い物をされたりするなどの被害が相次いでいます。

NPO法人の日本ネットワークセキュリティ協会の調査では、去年1年間に国内で起きた不正アクセスによる個人情報の漏えいは90件と、前の年より23件増え、調査を行ったこの14年で最悪のペースとなっています。10万人分を超える個人情報の漏えいは6件、最も深刻なケースでは57万人分もの情報が漏えいしています。

被害が深刻化している要因の1つとして指摘されているのが、ボットと呼ばれる自動プログラムによるサイバー攻撃の拡大です。

アメリカ大手IT企業のアカマイ・テクノロジーズによりますと、ボットは、闇サイトで売買されている数億件に上るIDやパスワードを悪用して不正なログインを自動で大量に試みていて、そうした通信は、全世界で1日当たり1億1000万回以上観測されているということです。

しかも、目立たないように数分おきにログインを試したり、発信元を数万件に分散したりするなど、発覚を防ぐ手口が巧妙化し、人によるアクセスと区別して見つけ出すことは困難になっているということです。

アカマイ・テクノロジーズの中西一博さんは「ボットも進化していて、最新の技術を投入しないとボットの通信を見破ることはほとんど不可能になっている。さまざまな形で流出した大量のIDやパスワードがボットに悪用されて被害を広げている」と話しています。

被害にあった企業は

都内にある金融会社では、去年の夏、会員向けのサイトが不正アクセスの被害を受けました。

対応にあたった担当者によりますと、不正アクセスの発信元は海外で、人手では難しい数日間で数十万回に上る大量の通信が行われたことから、ボットによる攻撃とみられています。その結果、会員になりすまされて会員の個人情報を盗み見られたほか、会員のポイントが勝手に使われる被害も出たということです。

担当した男性社員は「別の担当者から異常な量の通信があるとメールで知らされ、それで気付いた時にはすでにログインされていた。ログインに何度か失敗するとロックする仕組みになっていたが、それもすり抜けられ、被害の拡大を防ぐために会員のアカウントを一時停止する対応を行った。本物のIDやパスワードを悪用されるので防御が難しい」と話しています。

二段階認証の普及に壁

こうした不正アクセスを防ぐのに有効とされているのが、IDとパスワードのほかに、スマートフォンのアプリなどで別の数字などの入力を求める二段階認証です。

しかし、国内の通販サイトなどでは、二段階認証の普及は進んでいません。業界団体がことし2月にネット通販などを手がける国内企業300社を対象に行ったアンケート調査では、二段階認証などを導入している企業は20%にとどまり、77%はIDとパスワードだけで本人確認をしていました。

その背景として、二段階認証を導入するためのシステムの改修に多額の費用がかかるうえ、ログインの手間が増えると顧客が離れてしまうため、導入をためらうことが指摘されています。

民間のセキュリティー専門機関「JPCERTコーディネーションセンター」の佐々木勇人さんは「複数のサイトで同じパスワードを使い回すことをやめれば、不正アクセスの被害を大きく減らすことができる。そのうえで、できるだけ二段階認証を利用してほしい」と話しています。

業界では緊急の対策呼びかけ

不正アクセスの被害が相次いでいることを受けて、アカマイ・テクノロジーズは今月7日、都内で企業の担当者を集めた緊急のセミナーを開きました。

セミナーにはインターネット上で通販や金融などのサービスを提供している企業のおよそ100人が参加し、ボットによる被害の実態について説明が行われました。

この会社の調査では、通販サイトなどにログインしようとする通信の66.5%をボットが占めているとしたうえで、不正アクセスを見破るにはAI=人工知能などを使った最新の対策が必要と訴えました。

そのうえで、被害を防ぐには、IDとパスワードのほかに別の数字などの入力を求める二段階認証の導入や、サイトを管理している部門と社内のシステムを担当する部門が連携してリスクを把握することが重要だと呼びかけました。

ご意見・情報 お寄せください