コラム
急増するリアルタイムフィッシングの脅威と対策
現代のサイバー攻撃は、かつてないほど巧妙化しており、中でも急増しているのが「リアルタイムフィッシング」です。従来のフィッシング攻撃を進化させ、被害者が入力した情報をリアルタイムで盗み取ることで、瞬時に不正利用が可能となる仕組みです。 本記事では、リアルタイムフィッシングの被害事例や手口、旧来のセキュリティ対策の限界を詳しく解説していきます。リアルタイムフィッシングの脅威を正しく理解し、適切な対策を講じることが重要です。 1.リアルタイムフィッシングによる被害事例 NTTドコモ利用者のケース 2021年9月末から10月初めにかけて、NTTドコモの利用者がリアルタイムフィッシングの手口により、約1億円分のギフトカードを不正に購入される被害が発生しました。被害者は「ドコモお客様センター」からの支払い確認を求める偽のSMSを受け取り、添付されたURLをクリック。 遠隔操作ウイルスを含む偽アプリ「NTTセキュリティ」をインストールさせられる仕組みです。被害者が携帯端末に契約者確認用の暗証番号を入力すると、犯人は即座に盗み、ドコモのオンラインショップで不正購入を行ったと見られます。 従来のフィッシング攻撃と異なり、リアルタイムフィッシングでは、攻撃者が被害者の動作をリアルタイムで監視し、瞬時に情報を利用します。このため、被害者が何が起こったのかを理解する前に、重大な損害が発生するリスクが高まっているのです。 2.リアルタイムフィッシングの手口 偽メールやSMSによる誘導 攻撃者は、まず被害者を偽サイトやアプリに誘導するために、信頼できる企業やサービスを装ったメールやSMSを送信します。例えば、「ご利用料金のお支払いが確認できません」や「アカウントに不審なアクセスがありました」といった内容で、緊急性を感じさせるメッセージがよく使われる手口です。被害者はメッセージに記載されたリンクをクリックしてしまい、偽のログインページやアプリに誘導されます。 偽ログインページと偽アプリの使用 リンクをクリックした被害者は、正規のログインページやアプリに見せかけた偽のページに辿り着きます。この偽ページやアプリは被害者が疑いを持たないよう、本物と精巧に似せて作成されていることが通常です。被害者は、普段通りログイン情報や暗証番号を入力してしまいますが、実際にはその情報は攻撃者のサーバーに送信される仕組みです。 リアルタイムでの情報収集 被害者が入力した情報は、リアルタイムで攻撃者に送信されます。これにより、攻撃者は被害者がまだログイン中である間に、その情報を利用して正規のサービスにアクセスすることが可能になります。例えば、銀行口座にアクセスして送金を行ったり、オンラインショップで商品を購入したりといった不正行為が即座に実行可能です。 即時不正利用の実行 攻撃者は、盗み取った情報を利用して、瞬時に不正な操作を行います。被害者がログインしている間に、攻撃者が同じ情報を使って別のデバイスからアクセスし、アカウントの乗っ取りや資金の不正送金を行うことができます。このプロセスは非常に迅速に行われるため、被害者が異常に気付く前に不正利用が完了しているケースがほとんどです。 3.リアルタイムフィッシングを可能とする仕組み データ転送のリアルタイム性 リアルタイムフィッシングの最大の特徴は、被害者が入力した情報が瞬時に攻撃者へ送られる点です。通常、被害者は偽のログインページやアプリに自分のIDやパスワードを入力しますが、その情報はリアルタイムで攻撃者のサーバーに転送されます。攻撃者は被害者がログインしているその瞬間に、同じ情報を使って正規のサイトにアクセスし、不正行為をできる仕組みです。 中間者攻撃で2要素認証も突破 リアルタイムフィッシングの一部では、「中間者攻撃」という技術が使われることがあります。これは、攻撃者が被害者と正規のウェブサイトやアプリの間に割り込み、通信を傍受する手法です。攻撃者は、被害者が送信するデータを盗み取るだけでなく、被害者と正規サイトのやり取りをリアルタイムで操作することで、2要素認証を突破することも可能です。 例えば、攻撃者は偽サイトを作成し、被害者に「アカウントにリスクがある」と警告するメッセージを送信します。被害者が偽サイトにIDとパスワードを入力すると、それが正規サイトに転送され、セキュリティコードが被害者に送信されます。 被害者がそのコードを偽サイトに入力することで、攻撃者はコードを使って正規サイトにログインし、アカウントを乗っ取ることができるのです。これにより、被害者が全く気付かないうちに、情報が盗まれ、悪用されます。 動的に生成されるフィッシングサイト リアルタイムフィッシングで使用されるフィッシングサイトは、非常に短期間だけ存在し、その後すぐに消えることが多いです。偽サイトは動的に生成され、攻撃者がターゲットを誘導するためだけに使われます。従来のセキュリティ対策では、このような短命なサイトを発見しブロックすることが難しいため、被害を未然に防ぐことが難しくなっています。 4.旧来のセキュリティ対策の限界 静的パスワードの脆弱性 静的パスワードは、最も基本的なセキュリティ手段として広く使用されてきました。ユーザーが一度設定したパスワードをずっと使い続けるこの手法は、シンプルで便利ですが、リアルタイムフィッシングの前では脆弱です。 被害者が偽のログインページに入力したパスワードは、即座に攻撃者に渡ります。攻撃者はその瞬間に、このパスワードを使って正規のサイトにアクセスし、アカウントを乗っ取ることが可能です。 秘密の質問とセキュリティ質問の限界...
クレマスなどクレジットカード詐欺の高度化:ユーザー任せにしないための事業者対策
クレジットカード詐欺の手口は年々巧妙化の一途を辿っています。クレジットマスターアタックやフィッシング詐欺など、高度な手法が次々と登場しています。ユーザー自身による防御策は限界を迎えており、こうした詐欺からユーザーを守るためには、事業者側の対策強化が不可欠です。本記事では、最新の詐欺の手口を解説し、事業者が取るべき具体的な対策について詳しくご紹介します。 1.クレジットカード詐欺の被害額は年々増加 一般社団法人日本クレジット協会の調査によると、2023年のクレジットカード不正利用被害額は540.9億円に達しました。2014年と比較すると約5倍にまで被害額が膨れ上がっており、クレジットカード詐欺の深刻さが一層明らかになっています。 増加の要因の一つとして挙げられるのが、番号盗用による被害です。番号盗用とは、クレジットカード番号や暗証番号が不正に取得され、その情報を基に不正利用される手口です。2023年における番号盗用被害は、2014年と比較して約7.6倍にも増えており、特にオンライン取引において深刻な問題となっています。 利用者への注意喚起がなされたり、事業者による対策が強化されたりしていますが、被害の拡大を食い止めるためには、さらなる取り組みが必要とされています。 2.現在の主流は「クレジットマスターアタック」「フィッシング」 クレジットカード詐欺の手口は年々巧妙化し、特に「クレジットマスターアタック」と「フィッシング」が現在の主流です。カード情報を狙った高度な技術が駆使されるようになっており、利用者の不注意や技術的な隙を突いてきます。本セクションでは、これら二つの詐欺手法の具体的な仕組みを解説していきます。 クレマスの仕組み クレジットマスターアタック(クレマス)は、従来のクレジットカード詐欺とは異なり、カード保有者が自らの番号をどこにも提供していなくても不正利用される可能性があるという点で、非常に厄介です。 通常、クレジットカード詐欺は、攻撃者がカード番号やセキュリティコードを盗み取り、その情報を不正に利用する形を取ります。しかし、クレマスでは、攻撃者がクレジットカード番号の生成アルゴリズムを逆算し、その仕組みを利用して無作為に大量の番号を生成することにより、不正利用を試みます。攻撃者は生成した番号をオンラインショッピングサイトなどで試し、その中から有効な番号を見つけ出します。 つまり、攻撃者が無作為に生成した番号が偶然にも実際のカード番号と一致すれば、いくら情報漏洩の対策をしていても、カード保有者は自身が知らないうちに不正利用の被害に遭うことになるのです。クレマスは単に情報漏洩の問題に留まらず、全く新しい形態のリスクをもたらしていると言えます。 フィッシングの仕組み フィッシングは、クレジットカード詐欺の中でも広く行われている手口です。攻撃者はまず、公式な機関やサービスを装ったメールやSMSを送信し、ユーザーに緊急性を感じさせるメッセージを送りつけます。「あなたのアカウントに不正なアクセスがありました」や「カードの有効期限が切れています」などの内容で、ユーザーに不安を煽り、即座に対応するよう促します。メッセージには、公式サイトに見せかけたリンクが含まれており、ユーザーがそのリンクをクリックすると、偽のログインページやフォームに誘導される仕組みです。 偽ページは、本物のウェブサイトとほとんど区別がつかないほど巧妙に作られているため、多くのユーザーが疑うことなく、自分のクレジットカード情報やパスワードを入力してしまいます。攻撃者は、こうして取得した情報を利用して不正にカードを使用したり、さらなる詐欺行為を行ったりします。フィッシングの問題は、その巧妙さゆえに、ユーザー側が気づかずに情報を提供してしまうケースが多いという点です。 3.新しい手法が次々と登場 詐欺の手口は日々進化しており、クレマスやフィッシングに続いて「なりすまし型バナー広告」など新たな手法が次々と登場しています。従来の対策や利用者の注意だけでは防ぎきれないほど巧妙であり、今やユーザー側だけの意識改革では限界があると言えるでしょう。 なりすまし型バナー広告の仕組み 「なりすましバナー広告」は、通常のバナー広告とは異なり、サイトの一部に見せかけてユーザーを巧みに誘導する手口です。 ユーザーが訪れたWebサイトやスマートフォンアプリに表示されるこの広告は、商品名やサービス名が一切表示されず、代わりに「スタート」「続行」「ダウンロード」といったシンプルなボタンが大きく表示されているため、広告であることに気づきにくい仕組みになっています。ユーザーは広告をクリックしている意識がなく、サイトの通常の操作の一環としてボタンを押してしまうことが多いのです。 クリックすると、ユーザーはメールアドレスでのアカウント作成を促され、さらに進むとクレジットカードの情報を入力するよう指示されます。カード情報を登録してしまうと、利用規約の中に「5日間の無料期間を過ぎると課金される」などという条件が英語で書かれており、ユーザーが後になってそれを発見する頃には、課金が開始されているケースが多いのです。 このように「なりすましバナー広告」は、ユーザーが気づかないうちにカード情報を提供させ、巧妙に課金される仕組みになっていますが、法律的には詐欺と断定しにくいグレーな手法であるため、対処が難しいのが現状です。 ユーザーに対策を求めることは不可能な時代に これまで紹介してきた通り、近年のクレジットカード詐欺は、カード情報の流出がなくとも悪用されたり、明らかに詐欺とは言えないようなグレーゾーン的なものであったりと、手口がますます巧妙化しています。また、AIを活用することで、さらなる進化を遂げる可能性が出てきています。 ユーザーがどれほど注意深くても、そもそも防ぎようがなかったり、詐欺に引っかかる可能性が高いのが現実です。ユーザー側だけに責任を負わせ、対策を求めるのは無理がある時代に突入しているのです。 詐欺被害を防ぐためには、事業者側がセキュリティ対策を強化し、利用者を保護する仕組みを積極的に導入することが不可欠です。事業者にとっても、万が一インシデントが発生すると、ブランド価値が毀損されかねません。 4.Infront Securityによる解決策 ユーザー側の注意力に依存しない仕組みとしては、パスワードレス認証や、サイト利用時の本人確認を厳格化する方法があります。Infront Securityのパスワードレス認証を導入すれば、クレマス攻撃の抑止や、フィッシングの防止が可能です。 電話+端末認証の仕組み...
パスワード認証の限界とパスワードレス認証の未来:セキュリティと利便性の両立
これまで幅広く採用されてきたパスワード認証ですが、パスワード漏洩のインシデントは後を絶ちません。パスワード認証では、セキュリティを強化しようとするとユーザーの離脱率が上昇するというジレンマに直面します。本記事では、パスワード認証の課題を検証し、今後主流となるパスワードレス認証の仕組みや、そのメリット・デメリットを解説していきます。 1.相次ぐパスワード漏洩インシデント マルカワ味噌の不正アクセス事例 味噌の製造・販売を行うマルカワみそは、2024年4月2日に同社の通販サイト(ECサイト)への不正アクセス被害を発表しました。この不正アクセスにより、約8万9673人分の顧客個人情報と5447件のクレジットカード情報が漏洩した可能性があるとされています。発覚のきっかけは、2023年11月6日にクレジットカード会社からマルカワみそに対してクレジットカード情報の漏洩懸念の連絡があったことでした。 さらに、2024年5月7日に追加の情報が公開され、ECサイトのマイページにログインするためのパスワードも漏洩した可能性があることが明らかになりました。パスワードを記載したファイルが外部に漏洩した可能性があり、これにより2023年11月6日までにマイページ登録を行った2万606人のユーザーが影響を受けるとされています。 パスワードファイルに記載されていたパスワードが平文であったかどうかなどの詳細は説明されていませんが、同社は他社サービスで同じパスワードを使用している場合は、念のため他社サービスのパスワードを変更するよう顧客に呼びかけています。 パスワード漏洩によるリスク マルカワみそのようなパスワード漏洩インシデントは枚挙にいとまがありません。パスワードが漏洩することによりどのような脅威が生じるのでしょうか。 まず、漏洩したパスワードが悪意のある第三者の手に渡ると、アカウントへアクセスされ、直接的に個人情報を取得したり、不正利用したりするリスクが高まります。特に、同じパスワードを複数のサービスで使いまわしている場合、一つのサイトでの漏洩が連鎖的に他のサービスにも影響を及ぼすことがあります。「リスト型攻撃」と呼ばれ、非常に深刻な問題です。 さらに、攻撃者は取得したパスワードを用いて他のアカウントに不正アクセスを試みることができます。例えば、メールアカウントに不正アクセスされると、そこから他のサービスのパスワードリセットリンクを取得し、さらに多くのアカウントにアクセスできるようになる可能性があります。 また、攻撃者は、漏洩したパスワードを使ってユーザーになりすまし、他の人々を騙してさらに多くの情報を取得しようとするかもしれません。 企業にとっても、パスワード漏洩は重大な問題です。顧客の信頼を失うことは、ビジネスにとって致命的です。顧客はセキュリティ対策が不十分な企業を避けるようになり、結果として売上の減少やブランドイメージの損失につながることがあります。 2.セキュリティの強化とドロップ率のジレンマ パスワード認証を強化する方法そのものは存在します。ただし、ユーザー体験が低下し、ドロップ率が上昇するというデメリットが顕著です。 パスワードの複雑化 具体的なパスワードの複雑化の手段としては、最低でも8文字以上、アルファベットの大文字と小文字、数字、特殊文字(!、@、#、$など)の組み合わせを要求することが一般的です。同じパスワードの再使用を禁止し、定期的にパスワードの変更を促すケースも散見されます。 複雑なパスワードは、予測されにくく、攻撃者からアカウントを守る効果があることは間違いありません。しかし、多くのユーザーは長く複雑なパスワードを覚えることに困難を感じ、結果としてパスワードを忘れやすくなります。 パスワードリセットの頻度が増え、ユーザーのログイン成功率が低下し、最終的にはサービス利用のドロップ率が上昇するデメリットが同時に存在します。 パスワード管理の煩雑さ サービスごとに異なるパスワードを設定することが求められますが、複数のパスワードを管理することはユーザーにとって大きな負担です。 多くの人がブラウザの自動保存機能を利用していますが、これにはリスクを伴います。例えば、他人がデバイスへ物理的にアクセスした場合、保存されたパスワードが簡単に盗まれてしまうのです。マルウェアに感染した場合も、保存されたパスワードが流出する危険があります。 パスワードの変更や更新も煩雑さを増す要因です。多くのサービスは定期的なパスワード変更を推奨しており、管理しているパスワードを都度最新の状態に更新する必要があります。 パスワード管理の煩雑さを軽減するために、パスワードマネージャーが推奨されることも多いですが、リテラシーが低い高齢者などには使いこなすのが難しい場合があります。 複雑な認証方法 認証方法を複雑化することは、セキュリティを強化する手段の一つです。例えば、二段階認証では、パスワードに加えてSMSによる確認コードの送信、専用アプリによるワンタイムパスワードの生成、またはハードウェアトークンの利用などがあります。 これらの追加手順は、確かにセキュリティを大幅に向上させますが、ユーザーにとっては手間が増え、ログインに時間がかかる原因となります。一部の技術に不慣れなユーザーにとっては、認証手順を理解することすら難しい場合があります。 結果として、セキュリティは強化されたものの、サービスの利用が避けられてしまうというジレンマに陥ってしまうのです。 3.今後はパスワードレス認証が主流へ パスワードの複雑化や管理の煩雑さに対処するため、パスワードレス認証が注目されています。ユーザーがパスワードを覚える必要がなく、よりシンプルで安全な認証方法です。ここでは、パスワードレス認証の代表的な手段の1つである、パスキー認証について解説していきます。 パスキー認証の仕組みとメリット...
携帯電話の不正契約防止へ - 総務省、非対面時の本人確認をマイナンバーカードに一本化する案を公表
近年、特殊詐欺による被害が頻発し、ニュースで目にしない日はないと言っても過言ではありません。こうした事態を受け、政府は2024年6月18日に「国民を詐欺から守るための総合対策」を発表しました。さらに、6月20日には総務省が「不適正利用対策に関するワーキンググループ(第6回)」を開催し、携帯電話不正利用防止法に基づく本人確認の見直し案を公開しました。本記事では、これらの背景や具体的な対策内容について解説します。 1.携帯電話契約の本人確認、見直しの背景と方向性 詐欺被害が増加している原因のひとつに、他人の個人情報を利用して不正に入手された携帯電話の存在があります。被害の拡大を食い止める手段の1つとして、現在は携帯電話契約時の本人確認の重要性が問われています。実際の詐欺被害の件数推移と事件の例を見てみましょう。 不正入手した携帯電話を通じた詐欺被害の拡大 警察庁によると、SNSを悪用した詐欺被害は今年の1〜4月で2508件発生しており、被害総額は約334億円に上っています。その詐欺行為のほとんどが不正に入手した携帯電話から行われ、1日に約3億円が被害に遭っている計算になります。政府としては、この不正入手経路を断つためにも、マイナンバーカード等による契約時の本人確認手段の厳格化が不可欠と考えています。 出典:SNS型投資詐欺の認知件数と被害額の推移(KYODONEWS)大阪府八尾市議会議員の松田のりゆき氏は、偽造マイナンバーカードによる「SIMスワップ」詐欺の被害に遭いました。SIMスワップ詐欺は、悪意のある第三者が被害者の携帯電話番号を乗っ取り、そのSIMカードを新しいカードに交換する手法です。攻撃者は松田氏が市民相談のためにホームページに公開していた個人情報を使って偽造マイナンバーカードを作成し、それを店側に見せることで勝手に機種変更を行いました。犯人はそのまま電子マネーの不正利用や高級腕時計の購入などを行い、被害額は少なくとも2日間で240万円に達しました。この事件の背景には、マイナカードの目視だけで本人確認のチェックが通ってしまったという問題があります。 本人確認方法に関する見直しの方向性 出典:総務省 「非対面」の本人確認手法はマイナカード一本化へ犯罪収益移転防止法や携帯電話不正利用防止法に基づく非対面の本人確認手法は、原則として、マイナンバーカードの公的個人認証に一本化する方針が打ち出されました。運転免許証などの送信や顔写真のない本人確認書類は廃止されます。一方、住民票の写しなど、偽造・改ざん対策が施された本人確認書類の原本の送付を受ける方法は、一定条件の下で引き続き利用可能です。 総務省の公開資料によると、廃止方針の背景には「精巧に偽変造された本人確認書類が悪用されている実態」という理由があります。写しについても偽造が容易であり、特に非対面では真贋を見破ることが難しいため、廃止する方針で進めると説明されています。 「対面」の本人確認ではICチップ情報の読取りを義務付け対面でも目視による本人確認ではなく、マイナンバーカードなどのICチップ情報の読み取りが義務付けられます。マイナンバーカード「など」に具体的にどのような身分証が含まれるのかは明記されていませんが、ICチップを搭載している免許証やパスポートが有力です。将来的にはICチップ読取りアプリの開発も検討されています。 2.不正契約の実態 現状の携帯電話契約には、不正リスクやコスト面で手続き上の問題がいくつか存在します。マイナンバーカードのIC認証を利用した手続きによってそれらがどのように解消されるのか、またInfront Securityにどのような効果を与えるかについて解説していきます。 非対面での本人確認の課題 非対面認証には主にセキュリティリスクと本人確認の精度に関する問題があります。セキュリティリスクとしては、フィッシング詐欺やスパイウェアによる個人情報の盗難が挙げられます。偽のウェブサイトやメールを使って個人情報を盗まれ、携帯電話の契約に不正利用されてしまうのです。本人確認の精度についても、他人が個人情報を用いて本人になりすますリスクや、提出された書類の真正性を確認する難しさがあります。 ユーザー体験の問題も重要です。非対面認証では、複数のステップや書類提出が必要なため、ユーザーにとって手続きが煩雑になりがちです。高齢者や技術に詳しくないユーザーにとっては、オンライン認証の手続きが難しいことも課題です。 非対面での本人確認において、セキュリティリスクとユーザー体験の向上を同時に実現するためには、高度な本人確認手段が必要となります。 対面での本人確認の課題 偽造書類のリスク対面での携帯電話契約では、運転免許証や健康保険証などが精巧に偽造され、不正に契約されてしまう事例が多数報告されています。店舗スタッフの経験やスキルに依存する本人確認方法では、確認の精度を一定に保つことも難しいのが実態です。特に忙しい時間帯や未経験のスタッフが対応する場合、チェック漏れや不十分な確認が発生しやすくなり、偽造書類による不正契約リスクが高くなりやすい傾向にあります。 時間とコストの増大対面での本人確認は、店舗にとっても顧客にとっても時間とコストがかかります。通常、複数の書類が手続きに必要となりますが、書類の確認や情報の入力には手間がかかり、スタッフの負担は大きいです。繁忙期には長時間に渡って顧客は手続きを待たざるを得ず、顧客満足度が低下しがちです。 プライバシーのリスク対面確認の際に個人情報が漏洩するリスクがあります。顧客が書類を店舗スタッフに提出する際に、周囲の人々に情報が見られる可能性があります。また、スタッフが誤って情報を漏らすこともあります。これらのリスクは、個人のプライバシーや情報セキュリティを脅かす要因となります。 マイナカード確認による効果 マイナンバーカードのIC認証は、携帯電話の不正契約に関連する多くのリスクを効果的に解決し、安全かつ効率的な本人確認を実現します。 1.セキュリティリスクの軽減 マイナンバーカードのICチップには高度な暗号化技術が使用されており、電子証明書が格納されています。偽造書類の使用やなりすましによる不正契約は、ICチップの正当性を確認することで回避可能です。例えば、カードリーダーやNFC対応スマートフォンを使用してICチップを読み取ることで、即座に真偽を確認できる仕組みです。 第三者に見られることなく、電子的に安全に本人確認を行うため、対面確認における個人情報の漏洩リスクも低減されます。 2.ユーザー体験の向上 IC認証を利用することで、手続きの簡素化が期待できます。複数のステップや書類提出が不要になり、スマートフォンやカードリーダーを通じて迅速に本人確認が行えるため、ユーザーの手間が減ります。高齢者や技術に詳しくないユーザーにとっても、比較的ハードルの低い手順です 3.人的エラーの削減...
深刻化する転売問題の背景を徹底解説:効果的な多重アカウント対策とは?
チケット不正転売禁止法違反による摘発が相次いでいますが、その取り締まりには法的な限界と技術的な課題が存在します。この記事では、不正転売の背景と、その対策について詳しく解説していきます。 1.高額転売の摘発続々と チケット不正転売禁止法が2019年に施行されたにもかかわらず、転売は依然として社会問題であり続けています。実際に起きた不正転売の事件を見てみましょう。https://www.bengo4.com/c_1009/n_17581/50代男性が「ハロー!プロジェクト」のライブチケットを転売し、チケット不正転売禁止法違反の疑いで書類送検された例です。ライブチケット2枚を転売サイトに出品して、男女2人にそれぞれ2万円ずつ、定価の2倍以上で転売しました。 https://news.yahoo.co.jp/articles/d188f844d01ceec7df7a108c2f7eb5903ec395e9次の事例では、男性2人が旧ジャニーズ事務所のアイドルグループ「ジャニーズWEST」の約8,000人分のファンクラブアカウントを作成し、コンサートチケットを不正に入手して転売したものです。このようなニュースは日々報道がなされ、枚挙にいとまがありません。 2.法的な取り締まりの限界 チケット不正転売禁止法とは? 摘発事例として紹介した「ダフ屋行為」を取り締まる条例は、以前から各都道府県で制定されていました。2019年6月14日には「特定興行入場券の不正転売の禁止等による興行入場券の適正な流通の確保に関する法律」(以下「チケット不正転売禁止法」※通称)が施行され、インターネット上での高額転売も禁止されました。 「チケット不正転売禁止法」は、国内で行われる映画、音楽、舞踊などの芸術・芸能やスポーツイベントのチケットに関する法律です。この法律では、「特定興行入場券」と呼ばれる特別なチケットの不正転売を禁止しています。 「特定興行入場券」とは、興行主の同意のない有償譲渡を禁止する旨が明示された座席指定等がされたチケットのことです。 チケット不正転売禁止法で禁止される行為は主に次の2つです。 特定興行入場券(チケット)を不正に転売すること 不正転売を目的として、特定興行入場券(チケット)を購入すること 悪意のある転売を見極める難しさ 悪意のある転売なのか、それともたまたま事情によりチケットを手放さざるを得ないのかを見極めることは非常に困難です。例えば、同一人物が複数のアカウントを使用して高額で何度も商品を販売する場合、不正転売に該当する可能性が高いですが、一回限りの販売ではそうとは限りません。 また、消費者サイドの問題として、高額でも商品を購入する人がいるため、市場が成立してしまっているという問題も存在します。不利益を被ったと被害を訴える人が少なく、転売の問題が表面化しにくい状況が出来上がっているのです。 運営サイドでは、転売問題へ厳格に対応する守りのシステムや人的リソースにコストを投じることには消極的になりがちで、全てを取り締まることは現実的ではありません。 不正転売者、消費者、運営者、それぞれの思惑が絡み合い、転売市場は拡大し続けています。 3.技術的な取り締まりの限界 多重アカウント登録が可能な理由 1人で複数のアカウントを取得できてしまうことが、不正転売の温床となっています。どのような抜け道が存在しているのか一例を紹介していきます。 架空の個人情報での登録多くのシステムでは、名前、住所、電話番号、メールアドレスといった基本的な個人情報を入力するだけでアカウントを作成可能です。情報が本物であるかどうかを厳密に確認するプロセスが脆弱で、名前や住所、電話番号が架空のものであっても登録が通ってしまうため、同一人物が異なる情報を使って複数のアカウントを作成できる場合があります。 フリーメールサービスの利用インターネット上にはGmailやYahoo!メールなどのフリーメールサービスが多数存在し、これらを利用すれば新しいメールアドレスを何度でも作成できてしまいます。フリーメールアドレスは匿名性が高く、誰が作成したかを追跡することが困難です。 使い捨てSMSサービスSMS認証を採用しているシステムでも、使い捨て電話番号サービスを利用すれば複数のアカウントを作成可能です。インターネット上で簡単にアクセスでき、一時的に有効な電話番号が提供されます。不正転売者はこの番号を使って認証コードを受け取り、複数のアカウントを作成することができるのです。 本人確認手段の限界 多重アカウント登録への抜け道を防ぐことはなぜ難しいのでしょうか。ここでは技術的な観点から、限界点について深堀りしていきます。 メール認証の課題メール認証は、ユーザーが提供したメールアドレスに認証コードを送信し、そのコードを入力させることで本人確認を行う方法です。しかし、インターネット上には多数のフリーメールサービスが存在し、同一人物が異なるメールアドレスを使って何度でもアカウントを作成することが可能です。 SMS認証の課題SMS認証では、ユーザーが提供した電話番号に認証コードを送信し、そのコードを入力させることで本人確認を行います。市場には使い捨ての電話番号サービスが存在するため、電話番号を持っていないユーザーでも複数のアカウントを作成することが可能です。同じ電話番号を使い回すこともできるため、SMS認証も完全な解決策にはなり得ません。 二要素認証の課題二要素認証は、通常のパスワードに加えて、もう一つの認証要素を使用することでセキュリティを強化する方法です。導入コストが高く、ユーザーの利便性が低下しがちです。特に、スマートフォンを持っていないユーザーや技術に不慣れなユーザーにとっては利用が難しい場合があります。 不正検知の限界とコスト 不正行為は常に進化を続けています。不正検知システムも、不正行為の進化に合わせて絶えずアップデートが必要ですが、全ての不正行為を100%検知することは現実的ではありません。...
ゲームの不正ログイン事例から学ぶ:メール認証の脆弱性とその対策
近年、オンラインゲームにおける不正ログイン事例が急増しています。特に、複数のサービスで同じIDとパスワードを使い回しているユーザーが狙われ、メール認証の脆弱性が悪用されるケースが多くなっている状況です。本記事では、具体的な不正ログイン事例を取り上げ、どのようにメール認証の脆弱性が利用されているかを詳しく解説するとともに、効果的な対策方法を紹介します。 1.オンラインゲームにおける不正ログインの事例 ユーザーのアカウントが不正にアクセスされることで、個人情報の漏洩やゲーム内資産の損失、不正課金等の被害が発生しています。ここでは、具体的な不正アクセス事例を通じて、原因や被害の実態を確認していきます。 任天堂の事例 2020年4月24日、任天堂はオンラインアカウントに対する大規模な不正ログイン事件を発表しました。攻撃者は、他のサービスから流出したIDとパスワードを使用してアカウントにアクセスし、クレジットカードやPayPalを不正利用したものです。被害を受けた可能性があるアカウントは30万に達し、この事態を受けて任天堂はセキュリティ対策として一部のログイン機能を廃止し、被害アカウントのパスワードリセットを実施しました。不正取引が行われたアカウントは全体の1%未満であり、大半のユーザーには返金手続きが完了しています。 Klabの事例 2021年10月27日、ソーシャルゲーム事業を展開するKLab株式会社は、同社が提供する「KLab ID」に対するサイバー攻撃により、2,846件のユーザーアカウントが不正ログイン被害を受けたと発表しました。外部から流出したパスワード情報等を流用するサイバー攻撃「パスワードリスト攻撃」の可能性が高いと分析しています。閲覧された可能性のある情報には、メールアドレスや生年月日などの登録情報、連携アプリの情報が含まれていましたが、パスワード情報は復元不可能な形で保管されているため流出は確認されていないとしています。 警察による注意喚起 不正アクセスが多発していることを受け、警察も注意喚起を呼びかける事態となっています。例えば、鳥取県警察は、ゲームのログイン履歴を確認し、身に覚えのないログインがないかチェックすることを推奨。ログイン履歴の見方がわからない場合は、画面を印刷するかデジカメで撮影して最寄りの警察署に相談するよう呼び掛けています。IDとパスワードの使い回しは非常に危険であり、オンラインゲームだけでなくネットバンキングなど他のサービスでもパスワードの使い回しを避けることが特に強調されている予防策です。 2.メール認証の脆弱性が不正ログインを招く オンラインゲームにおける不正ログインの原因として、メール認証の脆弱性が大きな問題となっています。多くのサービスでは、パスワードを忘れた際にメールアドレスを使ってパスワードをリセットする機能が提供されていますが、実はこの機能が不正アクセスの温床となっているのです。以下では、メール認証の脆弱性がどのように不正ログインを招くのか、その仕組みと問題点を詳しく見ていきましょう。 パスワード再設定機能がメール認証の弱点 メール認証の最大の問題点は、ユーザーのメールアカウントが攻撃者に乗っ取られた場合、パスワード再設定機能を通じて簡単にゲームアカウントへの不正アクセスが可能になってしまうことです。 攻撃者はまず、フィッシングやマルウェアなどの手法を用いて、ユーザーのメールアカウントのログイン情報(IDとパスワード)を入手します。そして、そのメールアカウントを使って、ゲームサービスのパスワード再設定ページにアクセスします。 多くのゲームサービスでは、パスワードを忘れた場合、登録済みのメールアドレスに再設定用のリンクを送信する方式を採用しています。攻撃者は、このリンクをクリックし、新しいパスワードを設定することで、ゲームアカウントを乗っ取ることができてしまうのです。 このように、メールアカウントさえ乗っ取られてしまえば、メール認証を突破するのは容易であり、ゲームアカウントへの不正アクセスを防ぐことは非常に困難です。メールアカウントのセキュリティが破られた時点で、メール認証の意味がなくなってしまいます。 ゲームユーザーにおけるパスワードの使い回しの問題 メール認証の脆弱性が特に問題となるのは、ゲームユーザーの多くがパスワードを使い回す傾向があるためです。 ゲームユーザーの中には、複数のゲームサービスやソーシャルメディアで同じメールアドレスとパスワードを使用している人が少なくありません。特に若年層のユーザーは、利便性を重視するあまり、複数のサービスで同じログイン情報を使い回してしまうことが多いのです。 この状況では、たとえ一つのサービスから情報が流出しただけで、他のサービスのアカウントも危険にさらされることになります。攻撃者は、流出したメールアドレスとパスワードの組み合わせを使って、別のゲームサービスへのログインを試みます。パスワードが使い回されていれば、そのまま不正アクセスに成功してしまうのです。 ガンホーの事例でも、利用者のメールアカウントが不正アクセスにより乗っ取られるケースが多発していました。これは、ユーザーがパスワードを使い回していたために、他のサービスから流出したログイン情報が悪用された可能性が高いと考えられます。 3.不正ログインへのゲーム会社の対処 任天堂:二段階認証 任天堂では二段階認証の設定が任意で可能となっています。二段階認証は、パスワードに加え、スマートフォンの「Google Authenticator」アプリで生成される6桁の認証コードを入力する仕組みです。認証コードは一定時間ごとに更新され、毎回変化し再利用できません。 利用するには、スマートフォンに「Google Authenticator」アプリをダウンロードし、ニンテンドーアカウントのセキュリティ設定ページからQRコードをスキャンしてアプリと連携します。IDとパスワードが漏洩しても認証コードがなければログインできないため、不正アクセスを防ぎ、アカウントのセキュリティを大幅に強化します。 一方で、この方法はゲームユーザーのようなデジタルツールに慣れたユーザーには問題ありませんが、比較的年齢層が高いユーザーを抱える事業者には操作の難易度が高く、敬遠される可能性があります。 ガンホー:電話認証...
