コラム
パスワード認証の限界とパスワードレス認証の未来:セキュリティと利便性の両立
これまで幅広く採用されてきたパスワード認証ですが、パスワード漏洩のインシデントは後を絶ちません。パスワード認証では、セキュリティを強化しようとするとユーザーの離脱率が上昇するというジレンマに直面します。本記事では、パスワード認証の課題を検証し、今後主流となるパスワードレス認証の仕組みや、そのメリット・デメリットを解説していきます。 1.相次ぐパスワード漏洩インシデント マルカワ味噌の不正アクセス事例 味噌の製造・販売を行うマルカワみそは、2024年4月2日に同社の通販サイト(ECサイト)への不正アクセス被害を発表しました。この不正アクセスにより、約8万9673人分の顧客個人情報と5447件のクレジットカード情報が漏洩した可能性があるとされています。発覚のきっかけは、2023年11月6日にクレジットカード会社からマルカワみそに対してクレジットカード情報の漏洩懸念の連絡があったことでした。 さらに、2024年5月7日に追加の情報が公開され、ECサイトのマイページにログインするためのパスワードも漏洩した可能性があることが明らかになりました。パスワードを記載したファイルが外部に漏洩した可能性があり、これにより2023年11月6日までにマイページ登録を行った2万606人のユーザーが影響を受けるとされています。 パスワードファイルに記載されていたパスワードが平文であったかどうかなどの詳細は説明されていませんが、同社は他社サービスで同じパスワードを使用している場合は、念のため他社サービスのパスワードを変更するよう顧客に呼びかけています。 パスワード漏洩によるリスク マルカワみそのようなパスワード漏洩インシデントは枚挙にいとまがありません。パスワードが漏洩することによりどのような脅威が生じるのでしょうか。 まず、漏洩したパスワードが悪意のある第三者の手に渡ると、アカウントへアクセスされ、直接的に個人情報を取得したり、不正利用したりするリスクが高まります。特に、同じパスワードを複数のサービスで使いまわしている場合、一つのサイトでの漏洩が連鎖的に他のサービスにも影響を及ぼすことがあります。「リスト型攻撃」と呼ばれ、非常に深刻な問題です。 さらに、攻撃者は取得したパスワードを用いて他のアカウントに不正アクセスを試みることができます。例えば、メールアカウントに不正アクセスされると、そこから他のサービスのパスワードリセットリンクを取得し、さらに多くのアカウントにアクセスできるようになる可能性があります。 また、攻撃者は、漏洩したパスワードを使ってユーザーになりすまし、他の人々を騙してさらに多くの情報を取得しようとするかもしれません。 企業にとっても、パスワード漏洩は重大な問題です。顧客の信頼を失うことは、ビジネスにとって致命的です。顧客はセキュリティ対策が不十分な企業を避けるようになり、結果として売上の減少やブランドイメージの損失につながることがあります。 2.セキュリティの強化とドロップ率のジレンマ パスワード認証を強化する方法そのものは存在します。ただし、ユーザー体験が低下し、ドロップ率が上昇するというデメリットが顕著です。 パスワードの複雑化 具体的なパスワードの複雑化の手段としては、最低でも8文字以上、アルファベットの大文字と小文字、数字、特殊文字(!、@、#、$など)の組み合わせを要求することが一般的です。同じパスワードの再使用を禁止し、定期的にパスワードの変更を促すケースも散見されます。 複雑なパスワードは、予測されにくく、攻撃者からアカウントを守る効果があることは間違いありません。しかし、多くのユーザーは長く複雑なパスワードを覚えることに困難を感じ、結果としてパスワードを忘れやすくなります。 パスワードリセットの頻度が増え、ユーザーのログイン成功率が低下し、最終的にはサービス利用のドロップ率が上昇するデメリットが同時に存在します。 パスワード管理の煩雑さ サービスごとに異なるパスワードを設定することが求められますが、複数のパスワードを管理することはユーザーにとって大きな負担です。 多くの人がブラウザの自動保存機能を利用していますが、これにはリスクを伴います。例えば、他人がデバイスへ物理的にアクセスした場合、保存されたパスワードが簡単に盗まれてしまうのです。マルウェアに感染した場合も、保存されたパスワードが流出する危険があります。 パスワードの変更や更新も煩雑さを増す要因です。多くのサービスは定期的なパスワード変更を推奨しており、管理しているパスワードを都度最新の状態に更新する必要があります。 パスワード管理の煩雑さを軽減するために、パスワードマネージャーが推奨されることも多いですが、リテラシーが低い高齢者などには使いこなすのが難しい場合があります。 複雑な認証方法 認証方法を複雑化することは、セキュリティを強化する手段の一つです。例えば、二段階認証では、パスワードに加えてSMSによる確認コードの送信、専用アプリによるワンタイムパスワードの生成、またはハードウェアトークンの利用などがあります。 これらの追加手順は、確かにセキュリティを大幅に向上させますが、ユーザーにとっては手間が増え、ログインに時間がかかる原因となります。一部の技術に不慣れなユーザーにとっては、認証手順を理解することすら難しい場合があります。 結果として、セキュリティは強化されたものの、サービスの利用が避けられてしまうというジレンマに陥ってしまうのです。 3.今後はパスワードレス認証が主流へ パスワードの複雑化や管理の煩雑さに対処するため、パスワードレス認証が注目されています。ユーザーがパスワードを覚える必要がなく、よりシンプルで安全な認証方法です。ここでは、パスワードレス認証の代表的な手段の1つである、パスキー認証について解説していきます。 パスキー認証の仕組みとメリット...
携帯電話の不正契約防止へ - 総務省、非対面時の本人確認をマイナンバーカードに一本化する案を公表
近年、特殊詐欺による被害が頻発し、ニュースで目にしない日はないと言っても過言ではありません。こうした事態を受け、政府は2024年6月18日に「国民を詐欺から守るための総合対策」を発表しました。さらに、6月20日には総務省が「不適正利用対策に関するワーキンググループ(第6回)」を開催し、携帯電話不正利用防止法に基づく本人確認の見直し案を公開しました。本記事では、これらの背景や具体的な対策内容について解説します。 1.携帯電話契約の本人確認、見直しの背景と方向性 詐欺被害が増加している原因のひとつに、他人の個人情報を利用して不正に入手された携帯電話の存在があります。被害の拡大を食い止める手段の1つとして、現在は携帯電話契約時の本人確認の重要性が問われています。実際の詐欺被害の件数推移と事件の例を見てみましょう。 不正入手した携帯電話を通じた詐欺被害の拡大 警察庁によると、SNSを悪用した詐欺被害は今年の1〜4月で2508件発生しており、被害総額は約334億円に上っています。その詐欺行為のほとんどが不正に入手した携帯電話から行われ、1日に約3億円が被害に遭っている計算になります。政府としては、この不正入手経路を断つためにも、マイナンバーカード等による契約時の本人確認手段の厳格化が不可欠と考えています。 出典:SNS型投資詐欺の認知件数と被害額の推移(KYODONEWS)大阪府八尾市議会議員の松田のりゆき氏は、偽造マイナンバーカードによる「SIMスワップ」詐欺の被害に遭いました。SIMスワップ詐欺は、悪意のある第三者が被害者の携帯電話番号を乗っ取り、そのSIMカードを新しいカードに交換する手法です。攻撃者は松田氏が市民相談のためにホームページに公開していた個人情報を使って偽造マイナンバーカードを作成し、それを店側に見せることで勝手に機種変更を行いました。犯人はそのまま電子マネーの不正利用や高級腕時計の購入などを行い、被害額は少なくとも2日間で240万円に達しました。この事件の背景には、マイナカードの目視だけで本人確認のチェックが通ってしまったという問題があります。 本人確認方法に関する見直しの方向性 出典:総務省 「非対面」の本人確認手法はマイナカード一本化へ犯罪収益移転防止法や携帯電話不正利用防止法に基づく非対面の本人確認手法は、原則として、マイナンバーカードの公的個人認証に一本化する方針が打ち出されました。運転免許証などの送信や顔写真のない本人確認書類は廃止されます。一方、住民票の写しなど、偽造・改ざん対策が施された本人確認書類の原本の送付を受ける方法は、一定条件の下で引き続き利用可能です。 総務省の公開資料によると、廃止方針の背景には「精巧に偽変造された本人確認書類が悪用されている実態」という理由があります。写しについても偽造が容易であり、特に非対面では真贋を見破ることが難しいため、廃止する方針で進めると説明されています。 「対面」の本人確認ではICチップ情報の読取りを義務付け対面でも目視による本人確認ではなく、マイナンバーカードなどのICチップ情報の読み取りが義務付けられます。マイナンバーカード「など」に具体的にどのような身分証が含まれるのかは明記されていませんが、ICチップを搭載している免許証やパスポートが有力です。将来的にはICチップ読取りアプリの開発も検討されています。 2.不正契約の実態 現状の携帯電話契約には、不正リスクやコスト面で手続き上の問題がいくつか存在します。マイナンバーカードのIC認証を利用した手続きによってそれらがどのように解消されるのか、またInfront Securityにどのような効果を与えるかについて解説していきます。 非対面での本人確認の課題 非対面認証には主にセキュリティリスクと本人確認の精度に関する問題があります。セキュリティリスクとしては、フィッシング詐欺やスパイウェアによる個人情報の盗難が挙げられます。偽のウェブサイトやメールを使って個人情報を盗まれ、携帯電話の契約に不正利用されてしまうのです。本人確認の精度についても、他人が個人情報を用いて本人になりすますリスクや、提出された書類の真正性を確認する難しさがあります。 ユーザー体験の問題も重要です。非対面認証では、複数のステップや書類提出が必要なため、ユーザーにとって手続きが煩雑になりがちです。高齢者や技術に詳しくないユーザーにとっては、オンライン認証の手続きが難しいことも課題です。 非対面での本人確認において、セキュリティリスクとユーザー体験の向上を同時に実現するためには、高度な本人確認手段が必要となります。 対面での本人確認の課題 偽造書類のリスク対面での携帯電話契約では、運転免許証や健康保険証などが精巧に偽造され、不正に契約されてしまう事例が多数報告されています。店舗スタッフの経験やスキルに依存する本人確認方法では、確認の精度を一定に保つことも難しいのが実態です。特に忙しい時間帯や未経験のスタッフが対応する場合、チェック漏れや不十分な確認が発生しやすくなり、偽造書類による不正契約リスクが高くなりやすい傾向にあります。 時間とコストの増大対面での本人確認は、店舗にとっても顧客にとっても時間とコストがかかります。通常、複数の書類が手続きに必要となりますが、書類の確認や情報の入力には手間がかかり、スタッフの負担は大きいです。繁忙期には長時間に渡って顧客は手続きを待たざるを得ず、顧客満足度が低下しがちです。 プライバシーのリスク対面確認の際に個人情報が漏洩するリスクがあります。顧客が書類を店舗スタッフに提出する際に、周囲の人々に情報が見られる可能性があります。また、スタッフが誤って情報を漏らすこともあります。これらのリスクは、個人のプライバシーや情報セキュリティを脅かす要因となります。 マイナカード確認による効果 マイナンバーカードのIC認証は、携帯電話の不正契約に関連する多くのリスクを効果的に解決し、安全かつ効率的な本人確認を実現します。 1.セキュリティリスクの軽減 マイナンバーカードのICチップには高度な暗号化技術が使用されており、電子証明書が格納されています。偽造書類の使用やなりすましによる不正契約は、ICチップの正当性を確認することで回避可能です。例えば、カードリーダーやNFC対応スマートフォンを使用してICチップを読み取ることで、即座に真偽を確認できる仕組みです。 第三者に見られることなく、電子的に安全に本人確認を行うため、対面確認における個人情報の漏洩リスクも低減されます。 2.ユーザー体験の向上 IC認証を利用することで、手続きの簡素化が期待できます。複数のステップや書類提出が不要になり、スマートフォンやカードリーダーを通じて迅速に本人確認が行えるため、ユーザーの手間が減ります。高齢者や技術に詳しくないユーザーにとっても、比較的ハードルの低い手順です 3.人的エラーの削減...
深刻化する転売問題の背景を徹底解説:効果的な多重アカウント対策とは?
チケット不正転売禁止法違反による摘発が相次いでいますが、その取り締まりには法的な限界と技術的な課題が存在します。この記事では、不正転売の背景と、その対策について詳しく解説していきます。 1.高額転売の摘発続々と チケット不正転売禁止法が2019年に施行されたにもかかわらず、転売は依然として社会問題であり続けています。実際に起きた不正転売の事件を見てみましょう。https://www.bengo4.com/c_1009/n_17581/50代男性が「ハロー!プロジェクト」のライブチケットを転売し、チケット不正転売禁止法違反の疑いで書類送検された例です。ライブチケット2枚を転売サイトに出品して、男女2人にそれぞれ2万円ずつ、定価の2倍以上で転売しました。 https://news.yahoo.co.jp/articles/d188f844d01ceec7df7a108c2f7eb5903ec395e9次の事例では、男性2人が旧ジャニーズ事務所のアイドルグループ「ジャニーズWEST」の約8,000人分のファンクラブアカウントを作成し、コンサートチケットを不正に入手して転売したものです。このようなニュースは日々報道がなされ、枚挙にいとまがありません。 2.法的な取り締まりの限界 チケット不正転売禁止法とは? 摘発事例として紹介した「ダフ屋行為」を取り締まる条例は、以前から各都道府県で制定されていました。2019年6月14日には「特定興行入場券の不正転売の禁止等による興行入場券の適正な流通の確保に関する法律」(以下「チケット不正転売禁止法」※通称)が施行され、インターネット上での高額転売も禁止されました。 「チケット不正転売禁止法」は、国内で行われる映画、音楽、舞踊などの芸術・芸能やスポーツイベントのチケットに関する法律です。この法律では、「特定興行入場券」と呼ばれる特別なチケットの不正転売を禁止しています。 「特定興行入場券」とは、興行主の同意のない有償譲渡を禁止する旨が明示された座席指定等がされたチケットのことです。 チケット不正転売禁止法で禁止される行為は主に次の2つです。 特定興行入場券(チケット)を不正に転売すること 不正転売を目的として、特定興行入場券(チケット)を購入すること 悪意のある転売を見極める難しさ 悪意のある転売なのか、それともたまたま事情によりチケットを手放さざるを得ないのかを見極めることは非常に困難です。例えば、同一人物が複数のアカウントを使用して高額で何度も商品を販売する場合、不正転売に該当する可能性が高いですが、一回限りの販売ではそうとは限りません。 また、消費者サイドの問題として、高額でも商品を購入する人がいるため、市場が成立してしまっているという問題も存在します。不利益を被ったと被害を訴える人が少なく、転売の問題が表面化しにくい状況が出来上がっているのです。 運営サイドでは、転売問題へ厳格に対応する守りのシステムや人的リソースにコストを投じることには消極的になりがちで、全てを取り締まることは現実的ではありません。 不正転売者、消費者、運営者、それぞれの思惑が絡み合い、転売市場は拡大し続けています。 3.技術的な取り締まりの限界 多重アカウント登録が可能な理由 1人で複数のアカウントを取得できてしまうことが、不正転売の温床となっています。どのような抜け道が存在しているのか一例を紹介していきます。 架空の個人情報での登録多くのシステムでは、名前、住所、電話番号、メールアドレスといった基本的な個人情報を入力するだけでアカウントを作成可能です。情報が本物であるかどうかを厳密に確認するプロセスが脆弱で、名前や住所、電話番号が架空のものであっても登録が通ってしまうため、同一人物が異なる情報を使って複数のアカウントを作成できる場合があります。 フリーメールサービスの利用インターネット上にはGmailやYahoo!メールなどのフリーメールサービスが多数存在し、これらを利用すれば新しいメールアドレスを何度でも作成できてしまいます。フリーメールアドレスは匿名性が高く、誰が作成したかを追跡することが困難です。 使い捨てSMSサービスSMS認証を採用しているシステムでも、使い捨て電話番号サービスを利用すれば複数のアカウントを作成可能です。インターネット上で簡単にアクセスでき、一時的に有効な電話番号が提供されます。不正転売者はこの番号を使って認証コードを受け取り、複数のアカウントを作成することができるのです。 本人確認手段の限界 多重アカウント登録への抜け道を防ぐことはなぜ難しいのでしょうか。ここでは技術的な観点から、限界点について深堀りしていきます。 メール認証の課題メール認証は、ユーザーが提供したメールアドレスに認証コードを送信し、そのコードを入力させることで本人確認を行う方法です。しかし、インターネット上には多数のフリーメールサービスが存在し、同一人物が異なるメールアドレスを使って何度でもアカウントを作成することが可能です。 SMS認証の課題SMS認証では、ユーザーが提供した電話番号に認証コードを送信し、そのコードを入力させることで本人確認を行います。市場には使い捨ての電話番号サービスが存在するため、電話番号を持っていないユーザーでも複数のアカウントを作成することが可能です。同じ電話番号を使い回すこともできるため、SMS認証も完全な解決策にはなり得ません。 二要素認証の課題二要素認証は、通常のパスワードに加えて、もう一つの認証要素を使用することでセキュリティを強化する方法です。導入コストが高く、ユーザーの利便性が低下しがちです。特に、スマートフォンを持っていないユーザーや技術に不慣れなユーザーにとっては利用が難しい場合があります。 不正検知の限界とコスト 不正行為は常に進化を続けています。不正検知システムも、不正行為の進化に合わせて絶えずアップデートが必要ですが、全ての不正行為を100%検知することは現実的ではありません。...
ゲームの不正ログイン事例から学ぶ:メール認証の脆弱性とその対策
近年、オンラインゲームにおける不正ログイン事例が急増しています。特に、複数のサービスで同じIDとパスワードを使い回しているユーザーが狙われ、メール認証の脆弱性が悪用されるケースが多くなっている状況です。本記事では、具体的な不正ログイン事例を取り上げ、どのようにメール認証の脆弱性が利用されているかを詳しく解説するとともに、効果的な対策方法を紹介します。 1.オンラインゲームにおける不正ログインの事例 ユーザーのアカウントが不正にアクセスされることで、個人情報の漏洩やゲーム内資産の損失、不正課金等の被害が発生しています。ここでは、具体的な不正アクセス事例を通じて、原因や被害の実態を確認していきます。 任天堂の事例 2020年4月24日、任天堂はオンラインアカウントに対する大規模な不正ログイン事件を発表しました。攻撃者は、他のサービスから流出したIDとパスワードを使用してアカウントにアクセスし、クレジットカードやPayPalを不正利用したものです。被害を受けた可能性があるアカウントは30万に達し、この事態を受けて任天堂はセキュリティ対策として一部のログイン機能を廃止し、被害アカウントのパスワードリセットを実施しました。不正取引が行われたアカウントは全体の1%未満であり、大半のユーザーには返金手続きが完了しています。 Klabの事例 2021年10月27日、ソーシャルゲーム事業を展開するKLab株式会社は、同社が提供する「KLab ID」に対するサイバー攻撃により、2,846件のユーザーアカウントが不正ログイン被害を受けたと発表しました。外部から流出したパスワード情報等を流用するサイバー攻撃「パスワードリスト攻撃」の可能性が高いと分析しています。閲覧された可能性のある情報には、メールアドレスや生年月日などの登録情報、連携アプリの情報が含まれていましたが、パスワード情報は復元不可能な形で保管されているため流出は確認されていないとしています。 警察による注意喚起 不正アクセスが多発していることを受け、警察も注意喚起を呼びかける事態となっています。例えば、鳥取県警察は、ゲームのログイン履歴を確認し、身に覚えのないログインがないかチェックすることを推奨。ログイン履歴の見方がわからない場合は、画面を印刷するかデジカメで撮影して最寄りの警察署に相談するよう呼び掛けています。IDとパスワードの使い回しは非常に危険であり、オンラインゲームだけでなくネットバンキングなど他のサービスでもパスワードの使い回しを避けることが特に強調されている予防策です。 2.メール認証の脆弱性が不正ログインを招く オンラインゲームにおける不正ログインの原因として、メール認証の脆弱性が大きな問題となっています。多くのサービスでは、パスワードを忘れた際にメールアドレスを使ってパスワードをリセットする機能が提供されていますが、実はこの機能が不正アクセスの温床となっているのです。以下では、メール認証の脆弱性がどのように不正ログインを招くのか、その仕組みと問題点を詳しく見ていきましょう。 パスワード再設定機能がメール認証の弱点 メール認証の最大の問題点は、ユーザーのメールアカウントが攻撃者に乗っ取られた場合、パスワード再設定機能を通じて簡単にゲームアカウントへの不正アクセスが可能になってしまうことです。 攻撃者はまず、フィッシングやマルウェアなどの手法を用いて、ユーザーのメールアカウントのログイン情報(IDとパスワード)を入手します。そして、そのメールアカウントを使って、ゲームサービスのパスワード再設定ページにアクセスします。 多くのゲームサービスでは、パスワードを忘れた場合、登録済みのメールアドレスに再設定用のリンクを送信する方式を採用しています。攻撃者は、このリンクをクリックし、新しいパスワードを設定することで、ゲームアカウントを乗っ取ることができてしまうのです。 このように、メールアカウントさえ乗っ取られてしまえば、メール認証を突破するのは容易であり、ゲームアカウントへの不正アクセスを防ぐことは非常に困難です。メールアカウントのセキュリティが破られた時点で、メール認証の意味がなくなってしまいます。 ゲームユーザーにおけるパスワードの使い回しの問題 メール認証の脆弱性が特に問題となるのは、ゲームユーザーの多くがパスワードを使い回す傾向があるためです。 ゲームユーザーの中には、複数のゲームサービスやソーシャルメディアで同じメールアドレスとパスワードを使用している人が少なくありません。特に若年層のユーザーは、利便性を重視するあまり、複数のサービスで同じログイン情報を使い回してしまうことが多いのです。 この状況では、たとえ一つのサービスから情報が流出しただけで、他のサービスのアカウントも危険にさらされることになります。攻撃者は、流出したメールアドレスとパスワードの組み合わせを使って、別のゲームサービスへのログインを試みます。パスワードが使い回されていれば、そのまま不正アクセスに成功してしまうのです。 ガンホーの事例でも、利用者のメールアカウントが不正アクセスにより乗っ取られるケースが多発していました。これは、ユーザーがパスワードを使い回していたために、他のサービスから流出したログイン情報が悪用された可能性が高いと考えられます。 3.不正ログインへのゲーム会社の対処 任天堂:二段階認証 任天堂では二段階認証の設定が任意で可能となっています。二段階認証は、パスワードに加え、スマートフォンの「Google Authenticator」アプリで生成される6桁の認証コードを入力する仕組みです。認証コードは一定時間ごとに更新され、毎回変化し再利用できません。 利用するには、スマートフォンに「Google Authenticator」アプリをダウンロードし、ニンテンドーアカウントのセキュリティ設定ページからQRコードをスキャンしてアプリと連携します。IDとパスワードが漏洩しても認証コードがなければログインできないため、不正アクセスを防ぎ、アカウントのセキュリティを大幅に強化します。 一方で、この方法はゲームユーザーのようなデジタルツールに慣れたユーザーには問題ありませんが、比較的年齢層が高いユーザーを抱える事業者には操作の難易度が高く、敬遠される可能性があります。 ガンホー:電話認証...
進化するフィッシング詐欺:AI技術を駆使した巧妙な手口と対策
AI技術の飛躍的な進歩に伴い、フィッシング詐欺の手口も一層巧妙化しています。例えば、従来のフィッシングメールは単純な詐欺文が多かったものの、現在では文法的に正確で自然な文章が生成され、受信者を騙す手法が高度化しています。進化する脅威に対し、企業はどのようにして防御策を講じるべきでしょうか。本記事では、巧妙化するフィッシング詐欺の手口と、その対策について詳しく解説します。 1.AI技術によるフィッシング詐欺の巧妙化 フィッシングメールの認知や、一定の対策がユーザーの間に広まった一方で、フィッシングメールもAIの登場により劇的な進化を遂げました。本節では、フィッシングの手法が具体的にどのように進化しているのかについて詳しく解説します。 AIによるフィッシングメールの生成 従来のフィッシングメールには明らかな誤りやスペルミスが多く、容易に見破ることができました。現在ではAIを活用し、まるで人が書いたかのような人間らしい文章が生成されるため、受信者に対する信憑性が飛躍的に向上しています。これは、AIが大量のデータを分析し、適切な言葉遣いや表現を学習することにより実現されています。 AIによって生成されたフィッシングメールは、文章としての正確さに加えて、より自然な言い回しと正規のメールの口調を模倣できるため、一見すると正規の企業や個人から送られてきたもののように見えるほどの精巧さです。 ターゲットを狙った個別化の向上 AIの活用により、SNSやインターネット上に公開されている情報を収集し、フィッシングメールにターゲットの関心や趣味に合わせた内容を織り込めます。ターゲットの過去のメールや通信パターンを学習し、そのスタイルやトーンを模倣することまで可能です。 例えば、ターゲットの名前や職務内容から、個々に宛てた形式にするとともに、過去に特定の企業と取引をしていた場合、その企業名や取引内容に関する情報をメールに含めることで、受信者はそのメールが正当なものであると錯覚しやすくなります。 フィッシング攻撃の自動化 AIはターゲットのメールアドレスを収集し一斉送信を行います。テンプレートを自動生成し、それぞれのテンプレートを個別のターゲットに合わせてカスタマイズまで行います。数千、数万件のフィッシングメールを短時間で作成・送信でき、その規模と速度は企業や個人にとって大きな脅威です。 さらに、送信後のメールの効果をAIに分析させ、精度を向上することが可能です。例えば、どのメールが開封され、どのリンクがクリックされたのかといったデータを収集し、それに基づいて次の攻撃をより効果的にするための調整を行います。このようにして、フィッシング攻撃は継続的に改善され、ますます高度で巧妙な手法が生まれる仕組みとなっています。 ソーシャルエンジニアリングの強化 ソーシャルエンジニアリングとは、人間の心理や行動を巧みに利用して情報を引き出す技術です。AIは、ターゲットのオンライン行動やソーシャルメディアでの活動を分析し、その人の興味や関心、行動パターンを把握します。得た情報をもとに、ターゲットが反応しやすい内容や状況を巧みに作り上げ、説得力のあるフィッシングメールを生成する仕組みです。 ターゲットの人間関係から、信頼できる人物になりすましてメールを送ることも可能です。同僚や友人の言葉遣いやコミュニケーションスタイルを模倣することで、ターゲットはメールの信憑性を疑うことなく、情報を提供してしまう可能性が高まります。 検出回避技術の進化 従来のフィッシングメールは、スパムフィルターやセキュリティシステムによって比較的容易に検出されていましたが、AIを活用することで、防御策を回避する手法がますます洗練されてきています。 AIは、セキュリティシステムの検出アルゴリズムを学習し、その弱点を見つけ出すことができるのです。フィッシングメールのテンプレートを複数作成し、それぞれに微妙な変更を加えることで、検出されにくいメールを大量に生成したり、ネットワークトラフィックの分析を行い、通常の通信パターンに合わせてフィッシングメールを送信することで、検出されにくくしたりしています。 2. 巧妙なフィッシングメールの事例 では、巧妙なフィッシングメールの具体的な事例を見ていきましょう。ここでは、大手企業を標的にしたフィッシングメールを取り上げます。多くの犯罪者たちが、有名企業の信頼性を悪用し、ユーザーを騙そうとしています。これらの事例から、AIを悪用したフィッシング詐欺がどれほど高度化しているか実感を持っていただけるでしょう。 楽天銀行を装った事例 楽天銀行を騙り、ATMで入金取引があったことを知らせ、ログインを促すフィッシングメールです。いくつかのリンクがメールに貼られており、一番上以外は全て本物の楽天銀行のサイトへ飛ぶ仕組みです。 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? フィッシングサイトはID・PASSを登録するフォームですが、作りは精巧そのもので、URLが不自然な点以外、見分けがつきません。ログインすると、楽天の本物のサイトへ遷移します。 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? 通常は名前やメールアドレスなどの個人情報、クレジットカード番号などをフィッシングサイトで取得しますが、今回のフィッシング詐欺はシンプルにID・PASSのみを抜き取ることを目的としています。個人情報がなくともID・PASSさえあれば、個人情報の取得など悪用できることも多いため、シンプルな罠で最大限の被害を狙ったものと言えます。 ヤマト運輸を装った事例 続いて、ヤマト運輸の事例です。「お荷物お届けのお知らせ」というタイトルで、ヤマト運輸を装ったメールが送られてきます。出典:弁護士JPニュース急増「フィッシング詐欺」なぜ引っかかる?...
本人確認書類の偽造は簡単な時代に?eKYCの問題点と対策について
2024年4月、日本信用情報機構(JICC)が偽造された本人確認書類を用いたなりすましに対して信用情報を開示してしまったインシデントは、近年急速に普及が進むオンライン上での本人確認、eKYC(electronic Know Your Customer)の課題を浮き彫りにしました。本記事では、eKYCの基本的な仕組みから限界点、そしてその対策までを分かりやすく解説していきます。 スマホアプリを使ったなりすましを見破れずに情報開示 2024年4月1日、日本信用情報機構(JICC)は、偽造された本人確認書類を使用した申し込みに対して個人信用情報を開示したとして謝罪しました。スマホアプリを使ったなりすましに対して16件の開示が確認されています。 2024年3月の最終週に、偽造書類が使われた数件の申し込みを見抜き情報開示を防ぐことができました。ところが、過去の申し込みを遡って調査した結果、16件の偽造書類による情報開示が判明。不正開示された情報には、本人の特定や契約に関する情報が含まれていました。 2024年3月28日に不正が発覚し、JICCはサービスを停止。4月5日に機能改修を行い再開しました。再開後はクレジットカードによる本人認証を導入し、対応できないユーザーには郵送で対応するといった解決策に至っています。 eKYC(electronic Know Your Customer)とは? スマートフォンの普及に伴い、オンライン上での本人確認へのニーズが高まっています。ここでは、代表的な手段として普及が進むeKYCの基本的な仕組みと、そのメリットを解説していきます。 eKYCの本人確認の仕組み eKYCの本人確認手続は、大きく「身元確認」と「当人認証」で構成されています。 身元確認では、本人特定事項(氏名、住所、生年月日など)が記載された証明書(免許証、パスポート、健康保険証など)を提示し、その住所に実際に居住していることを確認します。これにより、その人物の身元が証明されます。 当人認証は、提示された証明書に記載されている人物が、実際に契約を行う本人であることを確認するプロセスです。eKYCでは生体認証と呼ばれる仕組みを利用しており、身分証に印刷された顔写真と契約者の顔を見比べることで、本人であることを確認します。 スマートフォンのカメラを使って本人確認書類と契約者の顔をリアルタイムで撮影することで、身元確認と当人認証の両方を同時に実行する仕組みです。 eKYCのメリット eKYCのメリットは、紙ベースの本人確認の仕組みと比較して、本人確認時間の大幅な短縮や人件費の削減を実現できることなどが挙げられます。 AIを活用した認証システムにより、リアルタイムでの本人確認が可能になり、従来の紙ベースのプロセスでは数週間かかる手続きが最短即日で完了します。 例えば、従来の方法では運転免許証のコピーを郵送する手間がかかりますが、eKYCではスマホで身分証明書と顔を撮影してアップロードするだけです。 事業者側でも、紙ベースの本人確認では書類の仕分け、内容確認、データ入力、保管など多くの手作業が必要ですが、eKYCでは作業を自動化・省力化することもでき、ヒューマンエラーのリスクも軽減されます。 eKYCの問題点 eKYCによってもたらさせるメリットは様々ですが、一方で課題も存在します。冒頭に紹介したようなインシデントも発生しており、限界点を理解することが重要です。 偽造書類を見抜く技術的な課題 現在のeKYCシステムは、高度な画像解析技術やAIを用いて偽造書類の検出を試みていますが、偽造技術も同時に進化しています。なりすましのリスクを完全に排除することは不可能です。 最近ではマイナンバーカードを含む偽造書類の製造工場が摘発される事例も多く報じられており、高度な偽造書類が市場に出回っています。中にはWebサイトを開設し、偽造書類の作成を請け負う業者まで出てきている始末です。今や誰でも簡単に偽造書類を入手できる時代になっているのです。 個人情報を保存することによるデータ漏洩リスク eKYCの利用には、個人情報の保存に伴うデータ漏洩リスクが大きな課題として存在します。ユーザーの個人情報や生体データがデジタル形式で保存されるため、不正アクセスやサイバー攻撃の標的になりやすいです。...
