ポイントサイトで不正アクセスによるポイントの不正送金など安全を脅かす事例は、実際にいくつも起きています。
世界的にもランサムウェアによる攻撃や、情報漏洩、不正アクセス、SNSアカウントの乗っ取りなどニュースで頻繁に耳にすることがあり、安全性やセキュリティ対策への関心が高まっています。
ポイントサイトを利用している方も他人事ではありません。自分は大丈夫だろうと思っている方が多くいるかもしれませんが、後述の不正アクセス事例で紹介している通り、分かっているだけでも毎月どこかのサイトで不正アクセスは発生しています。発表されてないもの、発覚してないものも多くあると想定されるため実際はこれよりはるかに多くの不正アクセスは起きています。
そこで、各ポイントサイトの安全性・対策例、個人でできる不正アクセス対策を実際に起きている実例と合わせて紹介します。
不正アクセスとは
不正アクセスとは、悪意のある第三者がウェブサービス上の個人情報(アカウント名やパスワード)を盗み出し悪用するというものです。
年々不正アクセスの件数は増加傾向にあり、手口も巧妙化してきているため、攻撃と対策はイタチごっこです。
狙われやすいサイト
狙われやすいサイトは、不正アクセスによりお金を得られるサイトです。代表的なのはネットバンク、被害の大半はネットバンクへの不正アクセスです。
また、お金に交換可能なポイントサイトや通販サイトも狙われやすいサイトです。
最近では、ネットバンクなど大手サイトは不正アクセスに対し高度な対策が施されているため攻撃者にとってもリスクが高くなります。そのため、セキュリティ対策が脆弱な中小企業やそのサイトが狙われやすい傾向にあります。ポイントサイトもその一つです。
不正アクセスにより起こる被害
不正アクセスによる被害で最も多いのがネットバンクへの不正送金です。また、ポイントの不正交換の被害も多く発生しています。
不正アクセスの手口とは
「なりすまし」など不正ログイン
主に個人のアカウントに対して不正ログインを試みる攻撃です。
パスワードリスト攻撃
パスワードリスト攻撃とは、あらかじめ用意されたアカウントとパスワードがセットになったリストを元に不正アクセスを試みる攻撃です。
複数のウェブサイトで同じアカウント名とパスワードを使い回しているユーザを狙った攻撃で、どこかしらのサイトから流出したアカウント情報が裏でリストとして出回り、そのリストを元に攻撃されます。
複数のポイントサイトに登録している方で、同じID/パスワードを設定している方は多いのではないでしょうか。管理が楽なので、昔は私も同じにしてましたが、一度アカウント情報が流出すると芋づる式に不正アクセスを許してしまうので要注意です。
個人でできる対策:
- サイト毎にでアカウント名、パスワードを変える
- 小まめにパスワードを変える
ブルートフォース攻撃
ブルートフォース攻撃とは、その名の通り可能な組み合わせを全て試す力技の攻撃です。別名総当たり攻撃とも呼ばれます。
古典的な手法ですが、時間を掛ければ確実に破ることができるため、最もよく使われる手法で以下の辞書攻撃と組み合わせて行われることが多いです。
また、近年のコンピュータ性能や回線速度の向上で解読にかかる時間が飛躍的に短くなっており、6桁以下のパスワードは瞬殺です。少なくとも8桁以上で英数字記号入りが必須です。
個人でできる対策:
- パスワードは、英数字記号入り8桁以上
辞書攻撃
辞書攻撃とは、よくパスワードに使われる文字列で不正アクセスを試みる攻撃です。
2016年に最も多かったパスワードは、「123456 」です。ウェブサイト全体の17%がこのパスワードという驚きの結果です。他にもキーボードの上下並び順や同じ数字6回、「password」などもよく使われています。
個人でできる対策:
- 推測され難いパスワードにする
- パスワードは、英数字記号入り8桁以上
「脆弱性」を狙った不正アクセス
ウェブサイトの脆弱性を狙った攻撃で、サイト自体に不正アクセスを試み管理されている個人情報を流出させます。
SQLインジェクション
ウェブサイトのログイン画面などでアカウントやパスワード入力フォームに、データベースを操作する文字列を入力し、不正アクセスや情報の改ざん、情報の漏洩などを行う攻撃。
OSコマンドインジェクション
SQLインジェクションとよく似ていますが、入力フォームなどにOSを操作するコマンドを紛れ込ませ、不正アクセスや情報の改ざん、情報の漏洩を行う攻撃。
クロスサイトスクリプティング
悪意ある第三者のページによりブラウザに悪意あるHTML(スクリプトも含む)をを埋め込まれるウェブアプリケーションの脆弱性を突いた攻撃で、ユーザが入力したアカウント情報などを意図しない別のサイトに送信されてしまいます。
クロスサイトリクエストフォージェリ
ウェブアプリケーションの脆弱性を突いた手口で、悪意ある第三者のページにアクセスしたユーザが攻撃者になりすまされ、意図しないページへのアクセスを強要される攻撃です。
事例としては、ユーザになりすました掲示板への書き込みやネットバンクへの不正送金などです。
ランサムウェア
2017年の5月に世界的に蔓延し、被害が拡大しているのがランサムウェアです。
ランサムウェアとは、システム内部を悪意ある第三者に暗号化され、その解除引き換えに金銭を要求されるというもの。
ポイントサイトがランサムウェアの被害にあうと、そのユーザはサイトを利用できなくなる恐れがあります。
※ランサムウェアにより、サイトの内部が不正に暗号化され、システムが正常に動作しなくなるため
直接的に金銭をユーザ側に要求されることはないと思いますが、最悪サイトが初期化されたり、これまで貯めたポイントが換金できなくなったりといった被害が想定されます。
ポイントサイトの不正アクセス対策
ポイントサイトでの不正アクセスに対する安全性を高める仕組みですが、外から見て分かる範囲として、なりすまし対策について紹介します。脆弱性を狙った不正アクセス対策は、サイトの内部の作りになってくるため、どこまで対策が取られているかは正直分かりません。
SMS認証
スマートフォンのショートメッセージに認証コードが送られ、それを入力する仕組みで、多くのサイトの本人確認に用いられています。
こ多くのポイントサイトで取り入られており、認証コードは30分程度で期限が切れるワンタイムコードとなっています。
登録しているメールアドレス宛に送られるパターンもあります。
画像認証
サイトにログインする際に、アカウント名とパスワード以外に、画像に書かれている文字列を入力したり、特定の画像を選択させることで認証する仕組みです。
画像認証の利点は、機械には画像を解読することが困難な点です。
なりすましでよく使われるパスワードリスト攻撃やブルートフォース攻撃、辞書攻撃はコンピュータが機械的に試行するため、コンピュータに解読困難な画像認証があると効果を発揮します。
ただし、近年のAI技術の発展でコンピュータによる画像識別は格段に進歩しており、一概には言えなくなってきています。
秘密の質問
パスワード以外に登録している秘密の質問により認証する仕組みです。
ポイントサイトのマイページ編集や登録メールアドレスの変更、ポイント交換などを行う際に入力を求められます。
以下はポイントサイトのモッピーの例です。
個人でできる対策まとめ
過去から現在まで言われ続けていることですが、メンドくさがらないで自分を守るためにも頑張りましょう。
これをやれば大丈夫という話ではなく、最低限これだけはやっておこうという内容です。
- サイト毎にでアカウント名、パスワードを変える
- 推測され難いパスワードにする
- パスワードは、英数字記号入り8桁以上
過去に実際にあった不正アクセス事例
2016年後半あたりからパスワードリスト攻撃による不正アクセスが多発しており、調べた限りで毎月どこかのサイトで被害が出ています。
2019年5月
アンとケイト
サーバへの不正アクセスのより、77万件のアカウントの個人情報が流出。
2017年3月
NTTコムサーチ
攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる不正ログインが行われ、登録モニター1792件の氏名などが閲覧された可能性があることがわかった。ポイントの不正利用は確認されていない。
2017年2月
KenCoM
DeSCヘルスケアの健康保険組合向けサービス「KenCoM」が、攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる不正ログインが行われ、435件のアカウントがなりすましによるログインを許し、総額2万4400円相当のポイントが不正に交換ポイントされる被害が発生していたことがわかった。
2016年12月
ココカラファインヘルスケア
ドラッグストアや調剤薬局を運営するココカラファインヘルスケアの会員向けウェブサイトが、攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる不正ログインが行われ、一部アカウントでポイントが不正に利用された可能性がある。
2016年11月
Ameba(アメーバ)
SNSサービスのAmeba(アメーバ)が「パスワードリスト攻撃」によると見られる不正アクセスを受け、約58万件のアカウントで不正にログインされた。
2016年11月
ローソンの会員向けサイト
ローソンの会員向けサイトにおいて、攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる不正アクセスが行われ、「Pontaポイント」が不正に使用される被害が3件、18万4414円分の被害が生じた。
2016年11月
マツモトキヨシ
マツモトキヨシの会員向けサイトにおいて、攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる不正アクセスが行われ、一部アカウントでポイントを不正利用される被害が発生した。
2016年10月
アンとケイト
アンケートリサーチサイト「アンとケイト」が、攻撃者が当サイト以外で入手したと思われるアカウントリストから、「パスワードリスト攻撃」によると見られる96件のなりすましによるログインが行われ、登録メールアドレスの改ざん、ポイントの不正交換の被害が発生した。
2016年9月
米Yahoo!
米Yahoo!は、少なくとも5億件のアカウント情報が窃取された。
同社の調査では、2014年後半に同社ネットワークより少なくとも5億件のアカウント情報が摂取されたと見られるという。盗まれたデータには、氏名やメールアドレスをはじめ、電話番号生年月日、ハッシュ化されたパスワードが含まれる。さらに一部には、パスワードの再発行などに用いるいわゆる「秘密の質問」や「回答」が含まれている場合があり、暗号化されていないケースもあった。
今回の漏洩について、国家的な関与が疑われている。
出典:http://www.security-next.com
ここで紹介した不正アクセス事例は、氷山の一角です。公表されていないものや、そもそも発覚していない不正アクセス事例が多くあることが予想されます。
コメント