コラム
Webスキミングの最新インシデントとチャージバック対策の重要性
2024年10月3日、大手カフェチェーン「タリーズコーヒー」は、ECサイト「タリーズ オンラインストア」で大規模なクレジットカード情報の漏洩があったと発表しました。原因は「Webスキミング」という、よく使われる手口によるものです。Webスキミングは、ユーザーが正規のウェブサイトを利用している際に情報を盗み取るため、被害に気づきにくいという厄介な特徴があります。本記事では、タリーズの事例を取り上げ、Webスキミングの脅威や事業者が直面するチャージバック被害のリスク、その対策の重要性について解説していきます。 1.タリーズ オンラインストアからクレジットカード情報が漏洩 インシデントの概要 2024年10月3日、タリーズコーヒージャパン株式会社は、自社が運営する「タリーズ オンラインストア」において、第三者による不正アクセスが発生し、個人情報およびクレジットカード情報が漏洩した可能性があることを公表しました。 5月20日に警視庁から同オンラインストアでのクレジットカード情報漏洩の懸念について連絡を受けたことが発端です。タリーズは同日中にオンラインストアでのクレジットカード決済を停止し、5月23日にはオンラインストア自体を一時閉鎖しました。 その後、第三者調査機関による詳細な調査を実施した結果、オンラインストアのシステムの脆弱性を突いて不正アクセスが行われたことが判明しました。原因として、ペイメントアプリケーションの改ざんが行われたことが確認されています。 オンラインストアの再開は、セキュリティ強化策を講じた上で改めて告知される予定ですが、2024年10月15日時点で未だ閉鎖されている状態です。 被害の範囲 今回の不正アクセスにより、タリーズオンラインストアの会員92,685名の個人情報が漏洩した可能性があります。漏洩した可能性のある個人情報の内容は以下のとおりです。いずれもユーザーのプライバシーに深く関わるものであり、不正利用やフィッシング詐欺などの二次被害を引き起こす可能性があります。 ・氏名・住所・電話番号・性別・生年月日・メールアドレス・ログインID・ログインパスワード・配送先情報 さらに、2021年7月20日から2024年5月20日までの期間にタリーズオンラインストアでクレジットカード決済を行った52,958名のクレジットカード情報も漏洩した可能性があります。漏洩した可能性のあるクレジットカード情報は以下のとおりです。 ・クレジットカード番号・カード名義人名・有効期限・セキュリティコード 特に、通常はECサイト側で保存されないはずの「セキュリティコード」までもが漏洩している点は深刻です。セキュリティコードはオンライン決済における最後の砦であり、カードの不正利用を防止するための重要な情報です。この情報が漏洿したことで、第三者による不正なカード利用のリスクが極めて高まっています。 2.Webスキミングとは Webスキミングの仕組み ペイメントアプリケーションの改ざん Webスキミングでは、まず、攻撃者はウェブサイトの脆弱性を見つけ出します。 古いソフトウェアの使用、セキュリティパッチの未適用、弱いパスワード設定などが原因となります。脆弱性を特定した攻撃者は、ウェブサーバーやウェブアプリケーションに不正に侵入する流れです。 次に、侵入した攻撃者はユーザーがクレジットカード情報や個人情報を入力する決済ページに、スキマーと呼ばれる悪意のあるJavaScriptコードを埋め込みます。このスキマーは、ユーザーの入力情報を収集するように設計されています。 ユーザー情報の不正取得方法 ユーザーがオンラインショップの決済ページで商品を購入する際、クレジットカード情報や個人情報を入力します。この際に、攻撃者が埋め込んだスキマーが、ユーザーの入力データをリアルタイムで傍受する仕組みです。 通常、ウェブサイトとサーバー間の通信は暗号化されており、第三者が途中でデータを盗み見ても内容を理解できないようになっています。しかし、スキマーはユーザーのブラウザ内で動作しており、ユーザーが情報を入力するまさにその瞬間にデータを取得します。暗号化が行われる前のデータ、すなわち平文をそのまま攻撃者に送信することができるのです。クレジットカードのセキュリティコードまで漏洩したのは、このような仕組みによるものです。 Webスキミングの厄介な点 被害の拡大スピード Webスキミングの深刻な問題の一つは、被害が急速に拡大することです。一度サイトが攻撃者によって改ざんされると、そのサイトを訪れるすべてのユーザーが被害に遭うリスクがあります。 例えば、タリーズオンラインストアの事例では、約3年間にわたり不正アクセスが続いていた可能性があり、その間に約5万3千人のクレジットカード情報が漏洩した恐れがあるとされています。攻撃が長期間放置されると、被害者の数が急増し、被害の範囲も広がってしまいます。 タリーズのように、人気のあるオンラインストアほどアクセス数が多いため、被害の範囲が広くなりがちです。...
急増するマッチングアプリ詐欺被害への本人認証対策
急成長を遂げるマッチングアプリ市場。その利便性を悪用した詐欺被害が深刻化しており、政府も規制強化やマイナンバーカード活用の推進に動き出しています。しかし、従来の本人認証手段では防ぎきれない巧妙な手口が増加しており、新たな対策が必要です。本記事では、最新の詐欺事例、現行の認証技術の課題、事業者に向けた解決策を紹介します。 1.マッチングアプリ詐欺被害の実態 マッチングアプリ市場の拡大 マッチングアプリ市場は、近年急速に拡大しています。株式会社タップルの調査によれば、2021年の市場規模は768億円で、2026年には1,657億円に達するとの予測です。大手アプリ「Pairs」は累計1,500万人以上の会員を抱え、100万人超の利用者がいるサービスも多数存在します。 拡大の背景には、メディアでの露出増加による認知度向上や、新規参入のハードルが低いことが挙げられます。 特に、コロナ禍を機にオンラインでの出会いが広がり、今では若年層に限らず、幅広い年代が利用するようになっています。さらに、低価格な月額料金や無料プランの提供により、手軽に試しやすいことも市場の成長を支えている要因です。 マッチングアプリ詐欺被害の急増 マッチングアプリの利用増とともに詐欺被害が増加の一途をたどっています。 利用者がアプリを通じて知り合った相手と、直接会うことなくメッセージを重ねるうちに、親密さや恋愛感情を抱き、最終的に金銭などを騙し取られる事例が後を絶ちません。「警察庁・SOS47特殊詐欺対策ページ」によると、こうした被害に遭うのは男性が約6割、女性が約4割で、男女を問わず被害が広がっています。詐欺師がターゲットと接触する手段として最も多く利用しているのはマッチングアプリであり、SNSよりも高い割合を占めています。 さらに、実際に金銭被害に遭わなくても、マッチングアプリを通じてネットワークビジネスや投資の勧誘、金銭の貸し出し依頼を受けるなど、詐欺に巻き込まれそうになるケースも数多く報告されています。 マッチングアプリ詐欺の被害事例 以下は国民生活センターに寄せられた詐欺被害の事例です。オンラインでのやり取りでは相手の身元確認が不十分だとリスクが高く、また相手の足取りを確認しづらいため、問題が発生した際に追跡が困難になる点に留意が必要です。 ケース1 マッチングアプリで日本在住のワイン輸入業者の役員を名乗るイギリス人男性と知り合い、無料メッセージアプリで連絡を取り合うようになりました。彼は「結婚後に資金を出し合って投資しよう」と提案し、ユーザーは暗号資産を130万円、さらに男性に会うために追加で40万円を送金しました。その後、「新型コロナに感染したので会えない」と連絡があり、翌月にも追加の送金を求められ、20万円を送った後、男性との連絡が途絶えました。 ケース2 マッチングアプリで知り合った中国人女性に、FX取引で儲けていると勧められ、彼女の指示でスマホに取引アプリをインストールしました。アドバイザーと称する人物とも連絡を取り、まず10万円、その後さらに200万円を国内の外国人名義の口座に振り込みました。アプリ内で利益が出ているのを確認し、出金を依頼しましたが、返信が来なくなりました。 2.現状の本人認証における課題 eKYCの課題 マッチングアプリでは近年、eKYC(electronic Know Your Customer、電子的な本人確認)を採用し、アプリ利用者の身元確認を行っています。eKYCは、利用者が身分証明書の写真を提出し、顔認証やAIによる照合を行うことで、迅速かつ効率的に本人確認を完了する仕組みです。 現在のeKYCシステムは、高度な画像解析技術やAIを用いて偽造書類の検出を試みていますが、偽造技術も同時に進化しています。結局のところ、画像そのものは匿名であり本人確認の信頼性がなく、なりすましのリスクを完全に排除することは不可能です。 最近ではマイナンバーカードを含む偽造書類の製造工場が摘発される事例も多く報じられており、高度な偽造書類が市場に出回っています。中にはWebサイトを開設し、偽造書類の作成を請け負う業者まで出てきている始末です。今や誰でも簡単に偽造書類を入手できる時代になっているのです。 政府はマイナンバーカードの活用を推進 2024年9月13日、河野太郎デジタル大臣は、恋愛マッチングアプリでのロマンス詐欺を抑止するため、本人確認にマイナンバーカードを活用するよう働きかける方針を示しました。デジタル庁と警察庁がマッチングアプリ事業者団体に要請し、ICチップ読み取りや公的個人認証サービスの利用で、安全性や信頼性が向上することを強調しました。 ICチップの読み取りに対応するなどすれば、現在よりも安全性は一定程度高まるものの、依然として課題は存在します。 電子証明書には「4桁の暗証番号」が必要 マイナンバーカードの電子証明書は、カード内のICチップに記録されており、オンラインでの本人確認や行政手続きに活用される機能です。これにより、公的個人認証サービスなどを通じて、インターネット上で安全に身元確認が行え、電子申請や証明が可能となります。 電子証明書を利用する際には「4桁の暗証番号」が必要ですが、この暗証番号が漏えいすると、カードの現物が他人に奪われた場合には、悪用されるリスクが生じます。カードを安全に保管することはもちろん、暗証番号は誕生日など簡単に推測されないものに設定し、他人に知られないよう十分注意する必要があります。...
急増するリアルタイムフィッシングの脅威と対策
現代のサイバー攻撃は、かつてないほど巧妙化しており、中でも急増しているのが「リアルタイムフィッシング」です。従来のフィッシング攻撃を進化させ、被害者が入力した情報をリアルタイムで盗み取ることで、瞬時に不正利用が可能となる仕組みです。 本記事では、リアルタイムフィッシングの被害事例や手口、旧来のセキュリティ対策の限界を詳しく解説していきます。リアルタイムフィッシングの脅威を正しく理解し、適切な対策を講じることが重要です。 1.リアルタイムフィッシングによる被害事例 NTTドコモ利用者のケース 2021年9月末から10月初めにかけて、NTTドコモの利用者がリアルタイムフィッシングの手口により、約1億円分のギフトカードを不正に購入される被害が発生しました。被害者は「ドコモお客様センター」からの支払い確認を求める偽のSMSを受け取り、添付されたURLをクリック。 遠隔操作ウイルスを含む偽アプリ「NTTセキュリティ」をインストールさせられる仕組みです。被害者が携帯端末に契約者確認用の暗証番号を入力すると、犯人は即座に盗み、ドコモのオンラインショップで不正購入を行ったと見られます。 従来のフィッシング攻撃と異なり、リアルタイムフィッシングでは、攻撃者が被害者の動作をリアルタイムで監視し、瞬時に情報を利用します。このため、被害者が何が起こったのかを理解する前に、重大な損害が発生するリスクが高まっているのです。 2.リアルタイムフィッシングの手口 偽メールやSMSによる誘導 攻撃者は、まず被害者を偽サイトやアプリに誘導するために、信頼できる企業やサービスを装ったメールやSMSを送信します。例えば、「ご利用料金のお支払いが確認できません」や「アカウントに不審なアクセスがありました」といった内容で、緊急性を感じさせるメッセージがよく使われる手口です。被害者はメッセージに記載されたリンクをクリックしてしまい、偽のログインページやアプリに誘導されます。 偽ログインページと偽アプリの使用 リンクをクリックした被害者は、正規のログインページやアプリに見せかけた偽のページに辿り着きます。この偽ページやアプリは被害者が疑いを持たないよう、本物と精巧に似せて作成されていることが通常です。被害者は、普段通りログイン情報や暗証番号を入力してしまいますが、実際にはその情報は攻撃者のサーバーに送信される仕組みです。 リアルタイムでの情報収集 被害者が入力した情報は、リアルタイムで攻撃者に送信されます。これにより、攻撃者は被害者がまだログイン中である間に、その情報を利用して正規のサービスにアクセスすることが可能になります。例えば、銀行口座にアクセスして送金を行ったり、オンラインショップで商品を購入したりといった不正行為が即座に実行可能です。 即時不正利用の実行 攻撃者は、盗み取った情報を利用して、瞬時に不正な操作を行います。被害者がログインしている間に、攻撃者が同じ情報を使って別のデバイスからアクセスし、アカウントの乗っ取りや資金の不正送金を行うことができます。このプロセスは非常に迅速に行われるため、被害者が異常に気付く前に不正利用が完了しているケースがほとんどです。 3.リアルタイムフィッシングを可能とする仕組み データ転送のリアルタイム性 リアルタイムフィッシングの最大の特徴は、被害者が入力した情報が瞬時に攻撃者へ送られる点です。通常、被害者は偽のログインページやアプリに自分のIDやパスワードを入力しますが、その情報はリアルタイムで攻撃者のサーバーに転送されます。攻撃者は被害者がログインしているその瞬間に、同じ情報を使って正規のサイトにアクセスし、不正行為をできる仕組みです。 中間者攻撃で2要素認証も突破 リアルタイムフィッシングの一部では、「中間者攻撃」という技術が使われることがあります。これは、攻撃者が被害者と正規のウェブサイトやアプリの間に割り込み、通信を傍受する手法です。攻撃者は、被害者が送信するデータを盗み取るだけでなく、被害者と正規サイトのやり取りをリアルタイムで操作することで、2要素認証を突破することも可能です。 例えば、攻撃者は偽サイトを作成し、被害者に「アカウントにリスクがある」と警告するメッセージを送信します。被害者が偽サイトにIDとパスワードを入力すると、それが正規サイトに転送され、セキュリティコードが被害者に送信されます。 被害者がそのコードを偽サイトに入力することで、攻撃者はコードを使って正規サイトにログインし、アカウントを乗っ取ることができるのです。これにより、被害者が全く気付かないうちに、情報が盗まれ、悪用されます。 動的に生成されるフィッシングサイト リアルタイムフィッシングで使用されるフィッシングサイトは、非常に短期間だけ存在し、その後すぐに消えることが多いです。偽サイトは動的に生成され、攻撃者がターゲットを誘導するためだけに使われます。従来のセキュリティ対策では、このような短命なサイトを発見しブロックすることが難しいため、被害を未然に防ぐことが難しくなっています。 4.旧来のセキュリティ対策の限界 静的パスワードの脆弱性 静的パスワードは、最も基本的なセキュリティ手段として広く使用されてきました。ユーザーが一度設定したパスワードをずっと使い続けるこの手法は、シンプルで便利ですが、リアルタイムフィッシングの前では脆弱です。 被害者が偽のログインページに入力したパスワードは、即座に攻撃者に渡ります。攻撃者はその瞬間に、このパスワードを使って正規のサイトにアクセスし、アカウントを乗っ取ることが可能です。 秘密の質問とセキュリティ質問の限界...
クレマスなどクレジットカード詐欺の高度化:ユーザー任せにしないための事業者対策
クレジットカード詐欺の手口は年々巧妙化の一途を辿っています。クレジットマスターアタックやフィッシング詐欺など、高度な手法が次々と登場しています。ユーザー自身による防御策は限界を迎えており、こうした詐欺からユーザーを守るためには、事業者側の対策強化が不可欠です。本記事では、最新の詐欺の手口を解説し、事業者が取るべき具体的な対策について詳しくご紹介します。 1.クレジットカード詐欺の被害額は年々増加 一般社団法人日本クレジット協会の調査によると、2023年のクレジットカード不正利用被害額は540.9億円に達しました。2014年と比較すると約5倍にまで被害額が膨れ上がっており、クレジットカード詐欺の深刻さが一層明らかになっています。 増加の要因の一つとして挙げられるのが、番号盗用による被害です。番号盗用とは、クレジットカード番号や暗証番号が不正に取得され、その情報を基に不正利用される手口です。2023年における番号盗用被害は、2014年と比較して約7.6倍にも増えており、特にオンライン取引において深刻な問題となっています。 利用者への注意喚起がなされたり、事業者による対策が強化されたりしていますが、被害の拡大を食い止めるためには、さらなる取り組みが必要とされています。 2.現在の主流は「クレジットマスターアタック」「フィッシング」 クレジットカード詐欺の手口は年々巧妙化し、特に「クレジットマスターアタック」と「フィッシング」が現在の主流です。カード情報を狙った高度な技術が駆使されるようになっており、利用者の不注意や技術的な隙を突いてきます。本セクションでは、これら二つの詐欺手法の具体的な仕組みを解説していきます。 クレマスの仕組み クレジットマスターアタック(クレマス)は、従来のクレジットカード詐欺とは異なり、カード保有者が自らの番号をどこにも提供していなくても不正利用される可能性があるという点で、非常に厄介です。 通常、クレジットカード詐欺は、攻撃者がカード番号やセキュリティコードを盗み取り、その情報を不正に利用する形を取ります。しかし、クレマスでは、攻撃者がクレジットカード番号の生成アルゴリズムを逆算し、その仕組みを利用して無作為に大量の番号を生成することにより、不正利用を試みます。攻撃者は生成した番号をオンラインショッピングサイトなどで試し、その中から有効な番号を見つけ出します。 つまり、攻撃者が無作為に生成した番号が偶然にも実際のカード番号と一致すれば、いくら情報漏洩の対策をしていても、カード保有者は自身が知らないうちに不正利用の被害に遭うことになるのです。クレマスは単に情報漏洩の問題に留まらず、全く新しい形態のリスクをもたらしていると言えます。 フィッシングの仕組み フィッシングは、クレジットカード詐欺の中でも広く行われている手口です。攻撃者はまず、公式な機関やサービスを装ったメールやSMSを送信し、ユーザーに緊急性を感じさせるメッセージを送りつけます。「あなたのアカウントに不正なアクセスがありました」や「カードの有効期限が切れています」などの内容で、ユーザーに不安を煽り、即座に対応するよう促します。メッセージには、公式サイトに見せかけたリンクが含まれており、ユーザーがそのリンクをクリックすると、偽のログインページやフォームに誘導される仕組みです。 偽ページは、本物のウェブサイトとほとんど区別がつかないほど巧妙に作られているため、多くのユーザーが疑うことなく、自分のクレジットカード情報やパスワードを入力してしまいます。攻撃者は、こうして取得した情報を利用して不正にカードを使用したり、さらなる詐欺行為を行ったりします。フィッシングの問題は、その巧妙さゆえに、ユーザー側が気づかずに情報を提供してしまうケースが多いという点です。 3.新しい手法が次々と登場 詐欺の手口は日々進化しており、クレマスやフィッシングに続いて「なりすまし型バナー広告」など新たな手法が次々と登場しています。従来の対策や利用者の注意だけでは防ぎきれないほど巧妙であり、今やユーザー側だけの意識改革では限界があると言えるでしょう。 なりすまし型バナー広告の仕組み 「なりすましバナー広告」は、通常のバナー広告とは異なり、サイトの一部に見せかけてユーザーを巧みに誘導する手口です。 ユーザーが訪れたWebサイトやスマートフォンアプリに表示されるこの広告は、商品名やサービス名が一切表示されず、代わりに「スタート」「続行」「ダウンロード」といったシンプルなボタンが大きく表示されているため、広告であることに気づきにくい仕組みになっています。ユーザーは広告をクリックしている意識がなく、サイトの通常の操作の一環としてボタンを押してしまうことが多いのです。 クリックすると、ユーザーはメールアドレスでのアカウント作成を促され、さらに進むとクレジットカードの情報を入力するよう指示されます。カード情報を登録してしまうと、利用規約の中に「5日間の無料期間を過ぎると課金される」などという条件が英語で書かれており、ユーザーが後になってそれを発見する頃には、課金が開始されているケースが多いのです。 このように「なりすましバナー広告」は、ユーザーが気づかないうちにカード情報を提供させ、巧妙に課金される仕組みになっていますが、法律的には詐欺と断定しにくいグレーな手法であるため、対処が難しいのが現状です。 ユーザーに対策を求めることは不可能な時代に これまで紹介してきた通り、近年のクレジットカード詐欺は、カード情報の流出がなくとも悪用されたり、明らかに詐欺とは言えないようなグレーゾーン的なものであったりと、手口がますます巧妙化しています。また、AIを活用することで、さらなる進化を遂げる可能性が出てきています。 ユーザーがどれほど注意深くても、そもそも防ぎようがなかったり、詐欺に引っかかる可能性が高いのが現実です。ユーザー側だけに責任を負わせ、対策を求めるのは無理がある時代に突入しているのです。 詐欺被害を防ぐためには、事業者側がセキュリティ対策を強化し、利用者を保護する仕組みを積極的に導入することが不可欠です。事業者にとっても、万が一インシデントが発生すると、ブランド価値が毀損されかねません。 4.Infront Securityによる解決策 ユーザー側の注意力に依存しない仕組みとしては、パスワードレス認証や、サイト利用時の本人確認を厳格化する方法があります。Infront Securityのパスワードレス認証を導入すれば、クレマス攻撃の抑止や、フィッシングの防止が可能です。 電話+端末認証の仕組み...
パスワード認証の限界とパスワードレス認証の未来:セキュリティと利便性の両立
これまで幅広く採用されてきたパスワード認証ですが、パスワード漏洩のインシデントは後を絶ちません。パスワード認証では、セキュリティを強化しようとするとユーザーの離脱率が上昇するというジレンマに直面します。本記事では、パスワード認証の課題を検証し、今後主流となるパスワードレス認証の仕組みや、そのメリット・デメリットを解説していきます。 1.相次ぐパスワード漏洩インシデント マルカワ味噌の不正アクセス事例 味噌の製造・販売を行うマルカワみそは、2024年4月2日に同社の通販サイト(ECサイト)への不正アクセス被害を発表しました。この不正アクセスにより、約8万9673人分の顧客個人情報と5447件のクレジットカード情報が漏洩した可能性があるとされています。発覚のきっかけは、2023年11月6日にクレジットカード会社からマルカワみそに対してクレジットカード情報の漏洩懸念の連絡があったことでした。 さらに、2024年5月7日に追加の情報が公開され、ECサイトのマイページにログインするためのパスワードも漏洩した可能性があることが明らかになりました。パスワードを記載したファイルが外部に漏洩した可能性があり、これにより2023年11月6日までにマイページ登録を行った2万606人のユーザーが影響を受けるとされています。 パスワードファイルに記載されていたパスワードが平文であったかどうかなどの詳細は説明されていませんが、同社は他社サービスで同じパスワードを使用している場合は、念のため他社サービスのパスワードを変更するよう顧客に呼びかけています。 パスワード漏洩によるリスク マルカワみそのようなパスワード漏洩インシデントは枚挙にいとまがありません。パスワードが漏洩することによりどのような脅威が生じるのでしょうか。 まず、漏洩したパスワードが悪意のある第三者の手に渡ると、アカウントへアクセスされ、直接的に個人情報を取得したり、不正利用したりするリスクが高まります。特に、同じパスワードを複数のサービスで使いまわしている場合、一つのサイトでの漏洩が連鎖的に他のサービスにも影響を及ぼすことがあります。「リスト型攻撃」と呼ばれ、非常に深刻な問題です。 さらに、攻撃者は取得したパスワードを用いて他のアカウントに不正アクセスを試みることができます。例えば、メールアカウントに不正アクセスされると、そこから他のサービスのパスワードリセットリンクを取得し、さらに多くのアカウントにアクセスできるようになる可能性があります。 また、攻撃者は、漏洩したパスワードを使ってユーザーになりすまし、他の人々を騙してさらに多くの情報を取得しようとするかもしれません。 企業にとっても、パスワード漏洩は重大な問題です。顧客の信頼を失うことは、ビジネスにとって致命的です。顧客はセキュリティ対策が不十分な企業を避けるようになり、結果として売上の減少やブランドイメージの損失につながることがあります。 2.セキュリティの強化とドロップ率のジレンマ パスワード認証を強化する方法そのものは存在します。ただし、ユーザー体験が低下し、ドロップ率が上昇するというデメリットが顕著です。 パスワードの複雑化 具体的なパスワードの複雑化の手段としては、最低でも8文字以上、アルファベットの大文字と小文字、数字、特殊文字(!、@、#、$など)の組み合わせを要求することが一般的です。同じパスワードの再使用を禁止し、定期的にパスワードの変更を促すケースも散見されます。 複雑なパスワードは、予測されにくく、攻撃者からアカウントを守る効果があることは間違いありません。しかし、多くのユーザーは長く複雑なパスワードを覚えることに困難を感じ、結果としてパスワードを忘れやすくなります。 パスワードリセットの頻度が増え、ユーザーのログイン成功率が低下し、最終的にはサービス利用のドロップ率が上昇するデメリットが同時に存在します。 パスワード管理の煩雑さ サービスごとに異なるパスワードを設定することが求められますが、複数のパスワードを管理することはユーザーにとって大きな負担です。 多くの人がブラウザの自動保存機能を利用していますが、これにはリスクを伴います。例えば、他人がデバイスへ物理的にアクセスした場合、保存されたパスワードが簡単に盗まれてしまうのです。マルウェアに感染した場合も、保存されたパスワードが流出する危険があります。 パスワードの変更や更新も煩雑さを増す要因です。多くのサービスは定期的なパスワード変更を推奨しており、管理しているパスワードを都度最新の状態に更新する必要があります。 パスワード管理の煩雑さを軽減するために、パスワードマネージャーが推奨されることも多いですが、リテラシーが低い高齢者などには使いこなすのが難しい場合があります。 複雑な認証方法 認証方法を複雑化することは、セキュリティを強化する手段の一つです。例えば、二段階認証では、パスワードに加えてSMSによる確認コードの送信、専用アプリによるワンタイムパスワードの生成、またはハードウェアトークンの利用などがあります。 これらの追加手順は、確かにセキュリティを大幅に向上させますが、ユーザーにとっては手間が増え、ログインに時間がかかる原因となります。一部の技術に不慣れなユーザーにとっては、認証手順を理解することすら難しい場合があります。 結果として、セキュリティは強化されたものの、サービスの利用が避けられてしまうというジレンマに陥ってしまうのです。 3.今後はパスワードレス認証が主流へ パスワードの複雑化や管理の煩雑さに対処するため、パスワードレス認証が注目されています。ユーザーがパスワードを覚える必要がなく、よりシンプルで安全な認証方法です。ここでは、パスワードレス認証の代表的な手段の1つである、パスキー認証について解説していきます。 パスキー認証の仕組みとメリット...
携帯電話の不正契約防止へ - 総務省、非対面時の本人確認をマイナンバーカードに一本化する案を公表
近年、特殊詐欺による被害が頻発し、ニュースで目にしない日はないと言っても過言ではありません。こうした事態を受け、政府は2024年6月18日に「国民を詐欺から守るための総合対策」を発表しました。さらに、6月20日には総務省が「不適正利用対策に関するワーキンググループ(第6回)」を開催し、携帯電話不正利用防止法に基づく本人確認の見直し案を公開しました。本記事では、これらの背景や具体的な対策内容について解説します。 1.携帯電話契約の本人確認、見直しの背景と方向性 詐欺被害が増加している原因のひとつに、他人の個人情報を利用して不正に入手された携帯電話の存在があります。被害の拡大を食い止める手段の1つとして、現在は携帯電話契約時の本人確認の重要性が問われています。実際の詐欺被害の件数推移と事件の例を見てみましょう。 不正入手した携帯電話を通じた詐欺被害の拡大 警察庁によると、SNSを悪用した詐欺被害は今年の1〜4月で2508件発生しており、被害総額は約334億円に上っています。その詐欺行為のほとんどが不正に入手した携帯電話から行われ、1日に約3億円が被害に遭っている計算になります。政府としては、この不正入手経路を断つためにも、マイナンバーカード等による契約時の本人確認手段の厳格化が不可欠と考えています。 出典:SNS型投資詐欺の認知件数と被害額の推移(KYODONEWS)大阪府八尾市議会議員の松田のりゆき氏は、偽造マイナンバーカードによる「SIMスワップ」詐欺の被害に遭いました。SIMスワップ詐欺は、悪意のある第三者が被害者の携帯電話番号を乗っ取り、そのSIMカードを新しいカードに交換する手法です。攻撃者は松田氏が市民相談のためにホームページに公開していた個人情報を使って偽造マイナンバーカードを作成し、それを店側に見せることで勝手に機種変更を行いました。犯人はそのまま電子マネーの不正利用や高級腕時計の購入などを行い、被害額は少なくとも2日間で240万円に達しました。この事件の背景には、マイナカードの目視だけで本人確認のチェックが通ってしまったという問題があります。 本人確認方法に関する見直しの方向性 出典:総務省 「非対面」の本人確認手法はマイナカード一本化へ犯罪収益移転防止法や携帯電話不正利用防止法に基づく非対面の本人確認手法は、原則として、マイナンバーカードの公的個人認証に一本化する方針が打ち出されました。運転免許証などの送信や顔写真のない本人確認書類は廃止されます。一方、住民票の写しなど、偽造・改ざん対策が施された本人確認書類の原本の送付を受ける方法は、一定条件の下で引き続き利用可能です。 総務省の公開資料によると、廃止方針の背景には「精巧に偽変造された本人確認書類が悪用されている実態」という理由があります。写しについても偽造が容易であり、特に非対面では真贋を見破ることが難しいため、廃止する方針で進めると説明されています。 「対面」の本人確認ではICチップ情報の読取りを義務付け対面でも目視による本人確認ではなく、マイナンバーカードなどのICチップ情報の読み取りが義務付けられます。マイナンバーカード「など」に具体的にどのような身分証が含まれるのかは明記されていませんが、ICチップを搭載している免許証やパスポートが有力です。将来的にはICチップ読取りアプリの開発も検討されています。 2.不正契約の実態 現状の携帯電話契約には、不正リスクやコスト面で手続き上の問題がいくつか存在します。マイナンバーカードのIC認証を利用した手続きによってそれらがどのように解消されるのか、またInfront Securityにどのような効果を与えるかについて解説していきます。 非対面での本人確認の課題 非対面認証には主にセキュリティリスクと本人確認の精度に関する問題があります。セキュリティリスクとしては、フィッシング詐欺やスパイウェアによる個人情報の盗難が挙げられます。偽のウェブサイトやメールを使って個人情報を盗まれ、携帯電話の契約に不正利用されてしまうのです。本人確認の精度についても、他人が個人情報を用いて本人になりすますリスクや、提出された書類の真正性を確認する難しさがあります。 ユーザー体験の問題も重要です。非対面認証では、複数のステップや書類提出が必要なため、ユーザーにとって手続きが煩雑になりがちです。高齢者や技術に詳しくないユーザーにとっては、オンライン認証の手続きが難しいことも課題です。 非対面での本人確認において、セキュリティリスクとユーザー体験の向上を同時に実現するためには、高度な本人確認手段が必要となります。 対面での本人確認の課題 偽造書類のリスク対面での携帯電話契約では、運転免許証や健康保険証などが精巧に偽造され、不正に契約されてしまう事例が多数報告されています。店舗スタッフの経験やスキルに依存する本人確認方法では、確認の精度を一定に保つことも難しいのが実態です。特に忙しい時間帯や未経験のスタッフが対応する場合、チェック漏れや不十分な確認が発生しやすくなり、偽造書類による不正契約リスクが高くなりやすい傾向にあります。 時間とコストの増大対面での本人確認は、店舗にとっても顧客にとっても時間とコストがかかります。通常、複数の書類が手続きに必要となりますが、書類の確認や情報の入力には手間がかかり、スタッフの負担は大きいです。繁忙期には長時間に渡って顧客は手続きを待たざるを得ず、顧客満足度が低下しがちです。 プライバシーのリスク対面確認の際に個人情報が漏洩するリスクがあります。顧客が書類を店舗スタッフに提出する際に、周囲の人々に情報が見られる可能性があります。また、スタッフが誤って情報を漏らすこともあります。これらのリスクは、個人のプライバシーや情報セキュリティを脅かす要因となります。 マイナカード確認による効果 マイナンバーカードのIC認証は、携帯電話の不正契約に関連する多くのリスクを効果的に解決し、安全かつ効率的な本人確認を実現します。 1.セキュリティリスクの軽減 マイナンバーカードのICチップには高度な暗号化技術が使用されており、電子証明書が格納されています。偽造書類の使用やなりすましによる不正契約は、ICチップの正当性を確認することで回避可能です。例えば、カードリーダーやNFC対応スマートフォンを使用してICチップを読み取ることで、即座に真偽を確認できる仕組みです。 第三者に見られることなく、電子的に安全に本人確認を行うため、対面確認における個人情報の漏洩リスクも低減されます。 2.ユーザー体験の向上 IC認証を利用することで、手続きの簡素化が期待できます。複数のステップや書類提出が不要になり、スマートフォンやカードリーダーを通じて迅速に本人確認が行えるため、ユーザーの手間が減ります。高齢者や技術に詳しくないユーザーにとっても、比較的ハードルの低い手順です 3.人的エラーの削減...