様々な業種の有名企業で導入している注目の技術!
不正認証による被害は年々増加傾向に・・・
こんな課題は
ありませんか?
-
不正ログインでクレカ不正利用
によるチャージバック被害や
不正転売が発生している
フィッシングや総当たり攻撃が
不可能となり、売上と商品を
不正者から保護できます。 -
初回トライアルを不正注文され、
踏み込んだキャンペーン
が打てない
複数の人物になりすます
偽アカ登録を防ぐ! -
パスワードログイン
できていない人を救済して、
サービス利用率を上げたい
ユーザーは電話番号のみで
ログインが可能!
パスワードを忘れる問題が解消され、
ログインの敷居が低くなります。
Infront Securityのコラム
-
2024/10/30SMS認証の脆弱性を徹底解説:二要素認証が簡単に突破される時代に事業者が取るべき対策とは
SMS認証は、その利便性と低コストから多くのオンラインサービスで広く採用されていますが、同時にその脆弱性を突いた詐欺被害も拡大しています。リアルタイムフィッシングやSIMスワップといった、従来の二要素認証をも簡単に突破する最新の手口も登場しています。さらに、使い捨て電話番号やSMS認証代行業者を悪用して、本人になりすます事例も増えてきており、注意が必要です。本記事では、SMS認証の脆弱性とその背景を詳しく解説し、事業者が取るべき具体的な対策について紹介します。 1. SMS認証を突破される被害が急増 被害の実態 二要素認証は、パスワードなどの知識に加えて、別の認証要素を組み合わせて行うセキュリティ手法で、これまでは比較的強固な認証方式とされてきましたSMS認証はユーザーの携帯電話にワンタイムパスワードを送信し、それをユーザーが入力することで本人確認を行うため、非常に便利です。このため、多くのサービスでSMS認証が二要素認証の一環として使用されています。 しかし、このSMS認証が、フィッシング詐欺のターゲットとなり、その安全性が揺らいでいます。2019年以降、特にネットバンキングに関連した不正送金やアカウント乗っ取りが大幅に増加しました。警視庁によると、2023年にはフィッシング被害件数が5,147件、被害額は約80.1億円に達し、これまでにない規模の被害が確認されています。 背景には二要素認証を突破する手口が確立され、従来のセキュリティ対策が無力化されていることが挙げられます。 SMS認証の普及とその限界 SMS認証が広く普及した背景には、利便性とコストの低さが大きく関わっています。携帯電話の普及に伴い、SMSは誰もが利用可能なツールとなり、特別なアプリケーションやデバイスを必要とせず、すぐに導入できる点が大きな魅力でした。さらに、SMS認証は、既存のモバイルネットワークを活用するため、技術的な導入コストも比較的低く抑えられるため、多くのサービスで二要素認証の一環として採用されました。 ユーザーにとっても、普段使っている携帯電話で手軽に認証が行えることから、複雑な手続きなしにセキュリティを強化できるという利便性が高く評価されています。オンラインバンキングやEコマース、SNSアカウントといった広範な分野で、安全性を向上させる手段としてSMS認証が広く利用されるようになりました。 SMS認証は、技術的なハードルが低く、ユーザー体験を向上させながらも、一定のセキュリティを提供することから、迅速に普及してきたのです。 しかし、こうした利便性の裏には重大な脆弱性が潜んでいます。SMS自体が暗号化されていないため、通信経路上でメッセージが盗まれるリスクがあります。もし攻撃者がこのメッセージを傍受すると、送信されたワンタイムパスワードを簡単に読み取り、悪用することが可能です。 セキュリティを強化するはずの仕組みが、実は攻撃者にとって格好の標的となってしまう場合もあるため、SMS認証は「諸刃の剣」とも言える存在です。近年登場したリアルタイムフィッシングやSIMスワップなど、SMS認証を簡単に突破する詐欺手法も広がっており、SMS認証の有効性が急速に薄れてきています。 2. マルウェアによるなりすまし リアルタイムフィッシング詐欺とは リアルタイムフィッシングの仕組み リアルタイムフィッシングは、ユーザーが偽のログインページに騙されていることに気づかない高度な詐欺手法です。攻撃者は、正規サイトに酷似した偽のログインページを作成し、ユーザーをそこに誘導します。ユーザーは正規サイトだと信じてログイン情報や認証コードを入力しますが、その情報はリアルタイムで攻撃者に転送されます。 攻撃者は、ユーザーの入力した情報を即座に利用して、正規のサイトにログインします。この間、ユーザーは自分が偽サイトにアクセスしていることに気づかず、通常のログイン操作を行っていると感じています。ユーザーが入力を終えると同時に、攻撃者は既にアカウントにアクセスしており、場合によってはアカウントの設定を変更したり、不正送金を行うこともあります。 この攻撃手法では、ユーザーと攻撃者が同時に行動するため、検出が非常に困難であり、被害が瞬時に発生します。リアルタイムでの攻撃が行われるため、被害者はログイン後すぐには異変に気づかないことがほとんどです。 なぜSMS認証では防げないのか SMS認証で使われるコードは、短時間しか有効ではなく、その間にユーザーがコードを入力することで本人確認を行います。しかし、リアルタイムフィッシングでは、ユーザーがコードを入力したその瞬間に情報が攻撃者に渡ります。攻撃者は、この短い時間内にリアルタイムで正規サイトにログインし、認証コードを使用して不正にアクセスします。 ここでの問題は、SMS認証が時間に依存している点です。認証コードが短時間しか有効でないからこそ安全だと考えられていましたが、リアルタイムで攻撃者がその短い時間内に動くと、このセキュリティの仕組みが無力化されてしまうのです。 3. 人的ななりすまし操作 SIMスワップ詐欺とは SIMスワップ詐欺の仕組み SIMスワップ詐欺は、攻撃者がターゲットの携帯電話番号を不正に取得し、被害者のアカウントにアクセスする手口です。まず、攻撃者はターゲットの個人情報を集めます。個人情報には被害者の名前、住所、電話番号、生年月日などが含まれ、フィッシングメールや他の不正手段で取得されることが多いです。 次に、攻撃者は携帯電話のキャリア会社に連絡し、ターゲットになりすまして「SIMカードの交換」を要求します。攻撃者は、被害者が電話やSMSを受信できないようにし、新しいSIMカードを自分のデバイスに挿入します。これにより、攻撃者は被害者の電話番号に紐づけられたすべてのメッセージや認証コードを受け取ることが可能となります。 攻撃者は、新たなSIMカードを使ってSMS認証を突破し、被害者のオンラインバンキングやSNSなどのアカウントにログインし、不正アクセスや資金移動を行う流れです。...
-
2024/10/17Webスキミングの最新インシデントとチャージバック対策の重要性
2024年10月3日、大手カフェチェーン「タリーズコーヒー」は、ECサイト「タリーズ オンラインストア」で大規模なクレジットカード情報の漏洩があったと発表しました。原因は「Webスキミング」という、よく使われる手口によるものです。Webスキミングは、ユーザーが正規のウェブサイトを利用している際に情報を盗み取るため、被害に気づきにくいという厄介な特徴があります。本記事では、タリーズの事例を取り上げ、Webスキミングの脅威や事業者が直面するチャージバック被害のリスク、その対策の重要性について解説していきます。 1.タリーズ オンラインストアからクレジットカード情報が漏洩 インシデントの概要 2024年10月3日、タリーズコーヒージャパン株式会社は、自社が運営する「タリーズ オンラインストア」において、第三者による不正アクセスが発生し、個人情報およびクレジットカード情報が漏洩した可能性があることを公表しました。 5月20日に警視庁から同オンラインストアでのクレジットカード情報漏洩の懸念について連絡を受けたことが発端です。タリーズは同日中にオンラインストアでのクレジットカード決済を停止し、5月23日にはオンラインストア自体を一時閉鎖しました。 その後、第三者調査機関による詳細な調査を実施した結果、オンラインストアのシステムの脆弱性を突いて不正アクセスが行われたことが判明しました。原因として、ペイメントアプリケーションの改ざんが行われたことが確認されています。 オンラインストアの再開は、セキュリティ強化策を講じた上で改めて告知される予定ですが、2024年10月15日時点で未だ閉鎖されている状態です。 被害の範囲 今回の不正アクセスにより、タリーズオンラインストアの会員92,685名の個人情報が漏洩した可能性があります。漏洩した可能性のある個人情報の内容は以下のとおりです。いずれもユーザーのプライバシーに深く関わるものであり、不正利用やフィッシング詐欺などの二次被害を引き起こす可能性があります。 ・氏名・住所・電話番号・性別・生年月日・メールアドレス・ログインID・ログインパスワード・配送先情報 さらに、2021年7月20日から2024年5月20日までの期間にタリーズオンラインストアでクレジットカード決済を行った52,958名のクレジットカード情報も漏洩した可能性があります。漏洩した可能性のあるクレジットカード情報は以下のとおりです。 ・クレジットカード番号・カード名義人名・有効期限・セキュリティコード 特に、通常はECサイト側で保存されないはずの「セキュリティコード」までもが漏洩している点は深刻です。セキュリティコードはオンライン決済における最後の砦であり、カードの不正利用を防止するための重要な情報です。この情報が漏洿したことで、第三者による不正なカード利用のリスクが極めて高まっています。 2.Webスキミングとは Webスキミングの仕組み ペイメントアプリケーションの改ざん Webスキミングでは、まず、攻撃者はウェブサイトの脆弱性を見つけ出します。 古いソフトウェアの使用、セキュリティパッチの未適用、弱いパスワード設定などが原因となります。脆弱性を特定した攻撃者は、ウェブサーバーやウェブアプリケーションに不正に侵入する流れです。 次に、侵入した攻撃者はユーザーがクレジットカード情報や個人情報を入力する決済ページに、スキマーと呼ばれる悪意のあるJavaScriptコードを埋め込みます。このスキマーは、ユーザーの入力情報を収集するように設計されています。 ユーザー情報の不正取得方法 ユーザーがオンラインショップの決済ページで商品を購入する際、クレジットカード情報や個人情報を入力します。この際に、攻撃者が埋め込んだスキマーが、ユーザーの入力データをリアルタイムで傍受する仕組みです。 通常、ウェブサイトとサーバー間の通信は暗号化されており、第三者が途中でデータを盗み見ても内容を理解できないようになっています。しかし、スキマーはユーザーのブラウザ内で動作しており、ユーザーが情報を入力するまさにその瞬間にデータを取得します。暗号化が行われる前のデータ、すなわち平文をそのまま攻撃者に送信することができるのです。クレジットカードのセキュリティコードまで漏洩したのは、このような仕組みによるものです。 Webスキミングの厄介な点 被害の拡大スピード Webスキミングの深刻な問題の一つは、被害が急速に拡大することです。一度サイトが攻撃者によって改ざんされると、そのサイトを訪れるすべてのユーザーが被害に遭うリスクがあります。 例えば、タリーズオンラインストアの事例では、約3年間にわたり不正アクセスが続いていた可能性があり、その間に約5万3千人のクレジットカード情報が漏洩した恐れがあるとされています。攻撃が長期間放置されると、被害者の数が急増し、被害の範囲も広がってしまいます。 タリーズのように、人気のあるオンラインストアほどアクセス数が多いため、被害の範囲が広くなりがちです。...
-
2024/10/10急増するマッチングアプリ詐欺被害への本人認証対策
急成長を遂げるマッチングアプリ市場。その利便性を悪用した詐欺被害が深刻化しており、政府も規制強化やマイナンバーカード活用の推進に動き出しています。しかし、従来の本人認証手段では防ぎきれない巧妙な手口が増加しており、新たな対策が必要です。本記事では、最新の詐欺事例、現行の認証技術の課題、事業者に向けた解決策を紹介します。 1.マッチングアプリ詐欺被害の実態 マッチングアプリ市場の拡大 マッチングアプリ市場は、近年急速に拡大しています。株式会社タップルの調査によれば、2021年の市場規模は768億円で、2026年には1,657億円に達するとの予測です。大手アプリ「Pairs」は累計1,500万人以上の会員を抱え、100万人超の利用者がいるサービスも多数存在します。 拡大の背景には、メディアでの露出増加による認知度向上や、新規参入のハードルが低いことが挙げられます。 特に、コロナ禍を機にオンラインでの出会いが広がり、今では若年層に限らず、幅広い年代が利用するようになっています。さらに、低価格な月額料金や無料プランの提供により、手軽に試しやすいことも市場の成長を支えている要因です。 マッチングアプリ詐欺被害の急増 マッチングアプリの利用増とともに詐欺被害が増加の一途をたどっています。 利用者がアプリを通じて知り合った相手と、直接会うことなくメッセージを重ねるうちに、親密さや恋愛感情を抱き、最終的に金銭などを騙し取られる事例が後を絶ちません。「警察庁・SOS47特殊詐欺対策ページ」によると、こうした被害に遭うのは男性が約6割、女性が約4割で、男女を問わず被害が広がっています。詐欺師がターゲットと接触する手段として最も多く利用しているのはマッチングアプリであり、SNSよりも高い割合を占めています。 さらに、実際に金銭被害に遭わなくても、マッチングアプリを通じてネットワークビジネスや投資の勧誘、金銭の貸し出し依頼を受けるなど、詐欺に巻き込まれそうになるケースも数多く報告されています。 マッチングアプリ詐欺の被害事例 以下は国民生活センターに寄せられた詐欺被害の事例です。オンラインでのやり取りでは相手の身元確認が不十分だとリスクが高く、また相手の足取りを確認しづらいため、問題が発生した際に追跡が困難になる点に留意が必要です。 ケース1 マッチングアプリで日本在住のワイン輸入業者の役員を名乗るイギリス人男性と知り合い、無料メッセージアプリで連絡を取り合うようになりました。彼は「結婚後に資金を出し合って投資しよう」と提案し、ユーザーは暗号資産を130万円、さらに男性に会うために追加で40万円を送金しました。その後、「新型コロナに感染したので会えない」と連絡があり、翌月にも追加の送金を求められ、20万円を送った後、男性との連絡が途絶えました。 ケース2 マッチングアプリで知り合った中国人女性に、FX取引で儲けていると勧められ、彼女の指示でスマホに取引アプリをインストールしました。アドバイザーと称する人物とも連絡を取り、まず10万円、その後さらに200万円を国内の外国人名義の口座に振り込みました。アプリ内で利益が出ているのを確認し、出金を依頼しましたが、返信が来なくなりました。 2.現状の本人認証における課題 eKYCの課題 マッチングアプリでは近年、eKYC(electronic Know Your Customer、電子的な本人確認)を採用し、アプリ利用者の身元確認を行っています。eKYCは、利用者が身分証明書の写真を提出し、顔認証やAIによる照合を行うことで、迅速かつ効率的に本人確認を完了する仕組みです。 現在のeKYCシステムは、高度な画像解析技術やAIを用いて偽造書類の検出を試みていますが、偽造技術も同時に進化しています。結局のところ、画像そのものは匿名であり本人確認の信頼性がなく、なりすましのリスクを完全に排除することは不可能です。 最近ではマイナンバーカードを含む偽造書類の製造工場が摘発される事例も多く報じられており、高度な偽造書類が市場に出回っています。中にはWebサイトを開設し、偽造書類の作成を請け負う業者まで出てきている始末です。今や誰でも簡単に偽造書類を入手できる時代になっているのです。 政府はマイナンバーカードの活用を推進 2024年9月13日、河野太郎デジタル大臣は、恋愛マッチングアプリでのロマンス詐欺を抑止するため、本人確認にマイナンバーカードを活用するよう働きかける方針を示しました。デジタル庁と警察庁がマッチングアプリ事業者団体に要請し、ICチップ読み取りや公的個人認証サービスの利用で、安全性や信頼性が向上することを強調しました。 ICチップの読み取りに対応するなどすれば、現在よりも安全性は一定程度高まるものの、依然として課題は存在します。 電子証明書には「4桁の暗証番号」が必要 マイナンバーカードの電子証明書は、カード内のICチップに記録されており、オンラインでの本人確認や行政手続きに活用される機能です。これにより、公的個人認証サービスなどを通じて、インターネット上で安全に身元確認が行え、電子申請や証明が可能となります。 電子証明書を利用する際には「4桁の暗証番号」が必要ですが、この暗証番号が漏えいすると、カードの現物が他人に奪われた場合には、悪用されるリスクが生じます。カードを安全に保管することはもちろん、暗証番号は誕生日など簡単に推測されないものに設定し、他人に知られないよう十分注意する必要があります。...
従来の不正対策の
問題点
不正を完全に防げるツールがなく、
セキュリティと利便性を両立させたツールがないのが現状です。
不正検知ツール
顧客に余計な手間をかけさせずに不正を防ぐ解決策を目指していますが、運用コスト、グレーゾーンの問題、そして完全な防御が困難であるという課題があります。
3Dセキュア
セキュリティを強化するものの、その複雑さがコンバージョン率の低下を招くことがあり、顧客体験の損失を引き起こしています。
SMS認証
不正行為の根源となり得る一方で、SMSによる認証は利用者がプロセスから離れる原因* となっています。セキュリティと利便性のバランスを取る必要があります。
*4桁のパスワードを別途SMSで通知することでサービスから一時離脱する行動
Infront Securityの
3つの特徴
誰でも簡単
一度認証したら端末情報を保存!2回目以降は電話番号の入力だけでログインできます。パスワードを忘れる心配や入力する手間がありません。
本人担保性
入力した電話番号(顧客DB)と同じ電話番号から発信できることが本人であることの証明になります。不正ログインやなりすましを防ぐことができます。
高い拡張性
様々なウェブサイトやアプリケーションに導入することができます。ユーザーは、同じ電話番号で複数のサービスにログインできます。
料金について
貴社のご要望に応じてカスタマイズプランもご提案が可能です。
まずはお気軽にお問い合わせください!
-
LIGHTライトプラン
10万円/月
※固定費用となります
〜10,000件/月
こんな人におすすめ!
まずは認証を手軽に
始めたい方 -
STANDARDスタンダードプラン
10~80万円/月
※ボリュームディスカウントあり
10,001~100,000件/月
こんな人におすすめ!
認証数が月間10,000回以上。
コストを抑えながら効率的に
運用したい方 -
ENTERPRISEエンタープライズプラン
80万円/月〜
※ボリュームディスカウントあり
100,000件〜/月
こんな人におすすめ!
サービス全体や複数箇所での
導入を検討している
大規模クライアント。
※金額表示は全て税別です。※最低6ヶ月〜のご契約となります。※認証箇所追加の場合は、別途費用がかかる事があります。※従量課金の月額下減金額は10万円となります。 ※サービス単位での課金が必要です。※従量課金はボリュームによってディスカウントが可能です。※認証単位は企業単位での傾斜があります。
推奨箇所をご提案させて頂きます!
あらゆる認証や決済が必要な箇所へ導入可能
- 各種
ログイン - 会員登録
- ユーザー
登録 - 初回購入時
- 高額決済時
- 登録情報
変更時 - PW
リマインダー - ポイント
交換時 - 予約・
申込み時
煩わしいことは一切なし!簡単5ステップ!
導入の流れ
STEP 01
ご相談/
お問い合わせ
導入へのご不明点、開発までの流れやサービス内容についてご説明致します。まずはお電話かメールにてお気軽にご相談下さい。
STEP 02
お見積り
ヒアリングから課題を抽出し、推奨導入箇所や回数を基にお見積りを作成。費用については、十分ご納得頂いた上でご検討いただけるよう説明致します。
STEP 03
ご契約
内容について十分にご納得いただけた上で、申込書をお書き頂いてご契約完了・開発開始となります。
*開発環境は別途ご相談STEP 04
開発・納品
クライアント側でプログラムファイルをサーバへインストールし、動作確認を行います。
STEP 05
サポート
納品後も不明点や問題点等が有りましたら、お電話・メールにて対応致します。
よくあるご質問
Infront Securityと他の認証サービスの違いは何ですか?
他のセキュリティシステムの多くがインターネット網の中で仕組みを複雑化して問題を解決しようとしているのに対し、Infront Securityは偽造や盗聴が非常に困難な電話番号を使用する電話網を活用して認証を行っており、高いセキュリティレベルを実現しています。本人の電話からの発信のみを認証し、不正アクセスを防ぎます。通話やSMS送信が不要で遅延や不達も通常はありませんのでコスト効率が高く、ワンタイムパスワードなどの入力が不要で使用が簡単です。
携帯電話以外の電話番号、固定電話やFAXも登録できますか?
はい、技術上すべての電話番号の登録が可能です。
携帯電話が圏外やバッテリー切れ、または忘れた場合はログインできますか?
SMS認証やワンタイムパスワードのトークンが手元にないのと同様に、基本的にはInfront Securityでのログインはできませんが、導入企業のセキュリティポリシーによっては別のログイン方法を用意することもあります。
Infront Securityサービスに登録している携帯電話を紛失した場合の対処方法を教えてください。
契約先の携帯電話会社に紛失を連絡し、SIMカード再発行などの対処方法を相談してください。
Infront Securityサービスに登録している電話番号を変更する方法は何ですか?
各導入企業のシステム上で電話番号の管理(登録、変更、削除)を行ってください。
