不正に入手したID・パスワード(PW)を使った、ECサイトへの攻撃が急増中だ。EC企業向けにセキュリティーサービスを提供する企業や専門機関は口をそろえて「17年の後半から、不正なID・PWを使ったリスト攻撃(※(1)参照)に関する相談件数が増加している」と話す。NTTドコモは8月14日、自社ECサイトがリスト攻撃を受けたと発表。大量の不正アクセスを受けた結果、1000件以上の不正購入の被害が生じたという。個人情報保護委員会が6月末に発表した年次報告によると、同委員会が設立された17年5月から18年3月までの11カ月間だけで、5000人分以上の個人情報の漏洩事案が63件報告されている。同期間中に少なく見積もっても数百万人分の個人情報が流出したという。現時点では、大部分のEC企業が、改正割賦販売法の求める「顧客のクレジットカード情報の非保持化」に対応しており、今後EC企業からカード情報が流出するケースは少なくなっていくとみられている。一方で、不正入手した顧客のID・PWを悪用した不正アクセス事件は増えていく可能性がある。
■限られる不正防止の選択肢
サイバー攻撃に詳しい専門家によると、近年、攻撃によって流出した大量のID・PWを含む個人情報が、海外のダークウェブ(闇サイト)で取引され、別の攻撃者によって利用されるケースが増えているという。
大手企業など数百社にネットワークセキュリティーに関する助言を行ってきたスプラウト(本社東京都)では、「17年7月ごろから、他社で漏洩したID・PWを使った不正アクセスに関する相談件数が増加している」(高野聖玄社長)と話す。家具や家電、チケット、美容機器といった、「高単価で転売しやすい」商材を扱う企業からの問い合わせが多い。実際の被害では、登録されているカードで商品が不正に購入されてしまうケースだけでなく、ECサイトのアカウントにユーザーが貯めていたポイントが使われてしまったというケースも多いという。
不正アクセスによる購入の被害を防ぐための有効な手段はあるのだろうか。前出の高野氏は「現状では、クレジットカードについて、3Dセキュア(※(2)参照)や二要素認証(※(3)参照)など、通常のPW以外の購入時認証の仕組みを設定する方法しか選択肢がない」(同)と話す。ただ、新たなセキュリティーシステムを導入すれば、当然コストがかかる。また、通常のPWに加えて別の認証の仕組みを導入することは、”かご落ち”のリスクを高めることにもなる。前出の高野氏は、そうしたコスト・リスクを踏まえつつも、「何より真っ先に、不正アクセス被害発生後の対応コストのことを懸念するべきだ」と話す。
(続きは、「日本ネット経済新聞」8月30日号で)
〈サイバー攻撃〉 不正IDの攻撃が急増/17年は最低でも数百万人分の情報が漏洩
記事は取材・執筆時の情報で、現在は異なる場合があります。