ウェブサービスへの不正ログイン
ウェブサービスへの不正ログイン
脅威概要
ウェブサービスに不正ログインされ、金銭的な被害や個人情報が窃取される等の被害が確認されている。2017年に確認されたウェブサービスへの不正ログインの多くがパスワードリスト攻撃により行われている。インターネットには多数のウェブサービスが存在しており、ウェブサービスの利用者が推測されやすいパスワードの使用やパスワードの使いまわしをしている場合、不正ログインが行われてしまう。IDとパスワードが窃取または推測され、ウェブサービスへ不正ログインされる被害が引き続き確認されている。ウェブサービスへの不正ログインによる影響は、利用しているウェブサービスの機能によって変わる。例えば、ショッピングサイトであれば、氏名や住所、電話番号が窃取されたり、不正な購買やポイント等が盗用される。また、SNSであればプライベートな写真やメッセージのやり取り等が覗き見される。さらに、そのSNSを使って不正な広告やリンク等を知人へ配信された場合、自分以外も被害を受けてしまうおそれがある。
事例
■不正ログインによる個人情報流出とポイントの不正使用
| ・ | ガス、電気料金情報ウェブ照会サービス「myTOKYOGAS」において2017年9月に不正ログインが行われ、106件の個人情報が流出したおそれがあり、そのうち24件についてはポイントが他社のポイントに交換されて形跡があった。また、同社は、同年8月にも不正ログインが行われ、17件の個人情報が流出していた。 |
■「おさいふPonta」にパスワードリスト攻撃
| ・ | 同サービスを提供するローソンによれば海外の特定IPアドレスから約30万件のログイン試行を受けた。 |
| ・ | 同社以外で取得されたメールアドレスとパスワードを用いたパスワードリスト攻撃と断定して攻撃元IPアドレスを遮断した。 |
| ・ | 一連の攻撃で、「おさいふPonta」のチャージ残高が不正に移行される 複数の被害が確認された。 |
対策(自己を守る方法)
パスワードリスト攻撃が成功してしまう大きな要因は、複数のサイトで同じパスワードを共有してしまう利用者のセキュリティ意識の低さにある。被害の予防するためには、パスワードの使い回しをしないことが第一である。また、パスワードは長く、複雑にする。もし、被害を受けてしまった場合は、パスワードをすぐに変更し、クレジットカードを利用している場合は、すぐに停止させる。
その他具体的な事例はこちら
