ポイントサイトの安全性検証!セキュリティ対策と不正アクセスの手口まとめ

ポイントサイトで不正アクセスによるポイントの不正送金など安全を脅かす事例は、実際にいくつも起きています。

世界的にもランサムウェアによる攻撃や、情報漏洩や不正アクセス、SNSアカウントの乗っ取りなどニュースで頻繁に耳にすることがあり安全性への危惧が高まっています。

ポイントサイトを利用している方も他人事ではありません。自分は大丈夫だろうと思っている方が多くいるかもしれませんが、後述の不正アクセス事例で紹介している通り分かっているだけでも毎月どこかのサイトで不正アクセスは発生しています。発表されてないもの、発覚してないものも多くあると想定されるため実際はこれよりはるかに多くの不正アクセスは起きています。

そこで、各ポイントサイトの安全性・対策例、個人でできる不正アクセス対策を実際に起きている実例と合わせて紹介します。

不正アクセスとは

不正アクセスとは

不正アクセスとは、悪意のある第三者がウェブサービス上の個人情報(アカウント名やパスワード)を盗み出し悪用されるというものです。

年々不正アクセスの件数は増加傾向にあり、手口も巧妙化してきているため、攻撃と対策はイタチごっこです。

狙われやすいサイト

狙われやすいサイトは、不正アクセスによりお金を得られるサイトです。代表的なのはネットバンク、被害の大半はネットバンクへの不正アクセスです。

またお金に交換可能なポイントサイトや通販サイトも狙われやすいサイトです。

最近では、ネットバンクなど大手サイトは不正アクセスに対し高度な対策が施されているため攻撃者にとってもリスクが高くなります。そのため、中小企業の対策が完全でない脆弱性のあるサイトが狙われやすい傾向にあります。ポイントサイトもその一つです。

不正アクセスにより起こる被害

不正アクセスによる被害で最も多いのがネットバンクへの不正送金です。また、ポイントの不正交換の被害も多く発生しています。

不正アクセスの手口とは

不正アクセスの手口

「なりすまし」など不正ログイン

主に個人のアカウントに対して不正ログインを試みる攻撃です。

パスワードリスト攻撃

パスワードリスト攻撃とは、あらかじめ用意されたアカウントとパスワードがセットになったリストを元に不正アクセスを試みる攻撃です。

複数のウェブサイトで同じアカウント名とパスワードを使い回しているユーザを狙った攻撃で、どこかしらのサイトから流出したアカウント情報が裏でリストとして出回り、そのリストを元に攻撃されます。

複数のポイントサイトに登録している方で、同じID/パスワードを設定している方は多いのではないでしょうか。管理が楽なので、昔は私も同じにしてましたが、一度アカウント情報が流出すると芋づる式に不正アクセスを許してしまうので要注意です。

個人でできる対策:

  • サイト毎にでアカウント名、パスワードを変える
  • 小まめにパスワードを変える
ブルートフォース攻撃

ブルートフォース攻撃とは、その名の通り可能な組み合わせを全て試す力技の攻撃です。別名総当たり攻撃とも呼ばれます。

古典的な手法ですが、時間を掛ければ確実に破ることができるため、最もよく使われる手法で以下の辞書攻撃と組み合わせて行われることが多いです。

また、近年のコンピュータ性能や回線速度の向上で解読にかかる時間が飛躍的に短くなっており、6桁以下のパスワードは瞬殺です。少なくとも8桁以上で英数字記号入りが必須です。

個人でできる対策:

  • パスワードは、英数字記号入り8桁以上
辞書攻撃

辞書攻撃とは、よくパスワードに使われる文字列で不正アクセスを試みる攻撃です。

2016年に最も多かったパスワードは、「123456 」です。ウェブサイト全体の17%がこのパスワードという驚きの結果です。他にもキーボードの上下並び順や同じ数字6回、「password」などもよく使われています。

個人でできる対策:

  • 推測され難いパスワードにする
  • パスワードは、英数字記号入り8桁以上

「脆弱性」を狙った不正アクセス

ウェブサイトの脆弱性を狙った攻撃で、サイト自体に不正アクセスを試み管理されている個人情報を流出させます。

SQLインジェクション

ウェブサイトのログイン画面などでアカウントやパスワード入力フォームに、データベースを操作する文字列を入力し、不正アクセスや情報の改ざん、情報の漏洩などを行う攻撃。

OSコマンドインジェクション

SQLインジェクションとよく似ていますが、入力フォームなどにOSを操作するコマンドを紛れ込ませ、不正アクセスや情報の改ざん、情報の漏洩を行う攻撃。

クロスサイトスクリプティング

悪意ある第三者のページによりブラウザに悪意あるHTML(スクリプトも含む)をを埋め込まれるウェブアプリケーションの脆弱性を突いた攻撃で、ユーザが入力したアカウント情報などを意図しない別のサイトに送信されてしまいます。

クロスサイトリクエストフォージェリ

ウェブアプリケーションの脆弱性を突いた手口で、悪意ある第三者のページにアクセスしたユーザが攻撃者になりすまされ、意図しないページへのアクセスを強要される攻撃です。

事例としては、ユーザになりすました掲示板への書き込みやネットバンクへの不正送金などです。

ランサムウェア

2017年の5月に世界的に蔓延し、被害が拡大しているのがランサムウェアです。

ランサムウェアとは、システム内部を悪意ある第三者に暗号化され、その解除引き換えに金銭を要求されるというもの。

ポイントサイトがランサムウェアの被害にあうと、そのユーザはサイトを利用できなくなる恐れがあります。
※ランサムウェアにより、サイトの内部が不正に暗号化され、システムが正常に動作しなくなるため

直接的に金銭をユーザ側に要求されることはないと思いますが、最悪サイトが初期化されたり、これまで貯めたポイントが換金できなくなったりといった被害が想定されます。

ポイントサイトの不正アクセス対策

ポイントサイトの不正アクセス対策

ポイントサイトでの不正アクセスに対する安全性を高める仕組みですが、外から見て分かる範囲として、なりすまし対策について紹介します。脆弱性を狙った不正アクセス対策は、サイトの内部の作りになってくるため、どこまで対策が取られているかは正直分かりません。

画像認証

サイトにログインする際に、アカウント名とパスワード以外に、画像に書かれている文字列を入力したり、特定の画像を選択させることで認証する仕組みです。

下の画像はポイントサイトハピタスのログイン時の画像認証で、複数表示される画像の中からアパートの画像のみを選択します。

ポイントサイト 画像認証

画像認証の利点は、機械には画像を解読することが困難な点です。

なりすましでよく使われるパスワードリスト攻撃やブルートフォース攻撃、辞書攻撃はコンピュータが機械的に試行するため、コンピュータに解読困難な画像認証があると効果を発揮します。

ポイントサイトのハピタスと予想ネットでこの画像認証が用いられています。

ハピタス

ハピタス

ハピタスはネットショッピングなどのウェブサービス利用に特化したポイントサイトで、高還元率、ポイント有効期限なし、交換手数料全て無料と利用しやすいサイトです。

会員数 150万人
レート 1pt=1円
交換 最低交換額:300円
交換手数料:無料
登録ボーナス 30pt = 30円

日々の生活にhappyをプラスする|ハピタス

【ハピタスのここがオススメ
・ショッピング利用、ウェブサービス利用が業界No1クラスの高還元
・ポイント有効期限なし、交換手数料全て無料と初心者にも優しい
【ハピタスのここがイマイチ
・無料ゲームやクリックポイントは無い
・ゲームやクリックポイントで稼ぎたい人には向かない
予想ネット

予想ネット

予想ネットはスポーツや時事ネタ、アンケートなどの結果予想でポイントを稼げるポイントサイトです。総合的に見ても案件数、無料コンテンツ豊富で稼ぎやすいポイントサイトです。

会員数 100万人
レート 10pt=1円
交換 最低交換額:300円
交換手数料:会員ランクにより全て無料
登録ボーナス 200pt = 20円
※スマホ登録のみ

ためて!増やして!おこづかいGET! 予想ネット会員登録無料

【予想ネットのここがオススメ
・ポイントサイト唯一の予想問題で楽しくポイントを貯めれる
・降格がない優秀な会員ランク制度
【予想ネットのここがイマイチ
・クリックポイントは少なめ

ワンタイムコード認証

ポイントサイトのポイント交換する際の安全性を高める仕組みとして、ワンタイムコード認証があります。これは、登録メールアドレスに認証コードが送信され、その認証コードを入力しないとポイント交換が出来ないという仕組みです。

これは多くのポイントサイトで取り入られており、認証コードは2時間程度で期限が切れるワンタイムコードとなっています。

秘密の質問

秘密の質問

パスワード以外に登録している秘密の質問により認証する仕組みです。

ポイントサイトのマイページ編集や登録メールアドレスの変更、ポイント交換などを行う際に入力を求められます。

個人でできる対策まとめ

ポイントサイトの不正アクセス対策

過去から現在まで言われ続けていることですが、メンドくさがらないで自分を守るためにも頑張りましょう。

これをやれば大丈夫という話ではなく、最低限これだけはやっておこうという内容です。

  • サイト毎にでアカウント名、パスワードを変える
  • 推測され難いパスワードにする
  • パスワードは、英数字記号入り8桁以上

過去に実際にあった不正アクセス事例

不正アクセス事例

2016年後半から2017年に実際に発生した不正アクセス被害を紹介します。
2016年後半あたりからパスワードリスト攻撃による不正アクセスが多発しており、調べた限りで毎月どこかのサイトで被害が出ています。


2017年3月
NTTコムサーチ

攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる不正ログインが行われ、登録モニター1792件の氏名などが閲覧された可能性があることがわかった。ポイントの不正利用は確認されていない。


2017年2月
KenCoM

DeSCヘルスケアの健康保険組合向けサービス「KenCoM」が、攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる不正ログインが行われ、435件のアカウントがなりすましによるログインを許し、総額2万4400円相当のポイントが不正に交換ポイントされる被害が発生していたことがわかった。


2016年12月
ココカラファインヘルスケア

ドラッグストアや調剤薬局を運営するココカラファインヘルスケアの会員向けウェブサイトが、攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる不正ログインが行われ、一部アカウントでポイントが不正に利用された可能性がある。


2016年11月
Ameba(アメーバ)

SNSサービスのAmeba(アメーバ)が「パスワードリスト攻撃」によると見られる不正アクセスを受け、約58万件のアカウントで不正にログインされた。


2016年11月
ローソンの会員向けサイト

ローソンの会員向けサイトにおいて、攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる不正アクセスが行われ、「Pontaポイント」が不正に使用される被害が3件、18万4414円分の被害が生じた。


2016年11月
マツモトキヨシ

マツモトキヨシの会員向けサイトにおいて、攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる不正アクセスが行われ、一部アカウントでポイントを不正利用される被害が発生した。


2016年10月
アンとケイト

アンケートリサーチサイト「アンとケイト」が、攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる96件のなりすましによるログインが行われ、登録メールアドレスの改ざん、ポイントの不正交換の被害が発生した。


2016年9月
米Yahoo!

米Yahoo!は、少なくとも5億件のアカウント情報が窃取された。

同社の調査では、2014年後半に同社ネットワークより少なくとも5億件のアカウント情報が摂取されたと見られるという。盗まれたデータには、氏名やメールアドレスをはじめ、電話番号生年月日、ハッシュ化されたパスワードが含まれる。さらに一部には、パスワードの再発行などに用いるいわゆる「秘密の質問」や「回答」が含まれている場合があり、暗号化されていないケースもあった。

今回の漏洩について、国家的な関与が疑われている。

出典:http://www.security-next.com


ここで紹介した不正アクセス事例は、氷山の一角です。公表されていないものや、そもそも発覚していない不正アクセス事例が多くあることが予想されます。