増加の一途を辿る「不正ログイン事件」
不正ログインへの対策を講じるためには、まず金融業界で発生した実際の事件の内容を知り、その手口について知識を深めておく必要があります。そこで近年報道された「不正ログイン事件」をみていきましょう。
SBI証券
2020年の7~9月にかけて、SBI証券に口座を開設し、資産を預けていた顧客の資産が流出する事件が発生。被害に遭ったのは合計11口座、被害総額は1億円近くにも上りました。
その手口は不正アクセス。サイバー犯罪者は何らかの方法で入手した個人情報リストを元に、SBI証券内の1,000 以上のアカウントへ不正ログインが試みたことがわかっています。そのうち11アカウントへの侵入に成功した後、出金先の銀行口座を変更し、有価証券などの資産を売却しました。こうした手口のターゲットになりやすいのは「複数サイトで同一のID、パスワードを使用している人」とされています。
メタップスペイメント
2022年2月、メタップスペイメント社は「不正アクセスにより保有するクレジットカード情報の漏洩が確認された」と発表しました。同社はクレジットカードの決済基盤を提供しており、保有するクレジットカードの情報量は46万件以上にも及びました。サイバー犯罪者は、同社の決済データセンターサーバー内に配置されたアプリケーションの脆弱性を突き、社内管理システムへの不正ログインなどを敢行。2021年10月14日から2022年1月25日にかけて利用されたクレジットカードの番号や有効期限、コンビニやペイジー決済に必要な個人情報、そして電子マネー決済に必要なメールアドレスなどを入手したといいます。
イオン銀行
2021年2月、イオン銀行は「最大2,062人分の顧客情報の一部が、閲覧されていた」と発表しました。サイバー犯罪者は、同行が2018年よりウェブサイトで提供している「来店予約・オンライン相談サービス」を利用し、不正アクセスを敢行。同行はそのサービス運営のために利用していた、外部クラウド型システムの設定に不備があったことを認めました。漏洩したと考えられる顧客情報は、約2,000名分の氏名や電話番号、メールアドレスなど。またオンライン相談の内容も含まれるといいます。ただし口座番号や暗証番号などの情報漏洩はなかったとしており、大きな金銭的被害は報告されていません。
銀行情報への不正ログイン…代表的な手口、3つ
上記の内容をみてもわかるように、不正ログインにより企業や個人が実害を被るケースがあります。ではサイバー犯罪者はどのような攻撃を仕掛けているのでしょうか? その代表的な手口をみていきましょう。
フィッシング詐欺
フィッシングとは「釣り」を意味する英語。サイバー犯罪者がメールという餌を無数に蒔き、本文に掲載された誘導サイトへ消費者が食いつくのを待っている……、そんなイメージです。近年はAmazonや大手運送会社などの名を騙り、銀行口座やクレジットカードの情報を騙し取るフィッシングが横行。そして2022年9月には、三井住友銀行の名を騙るフィッシング詐欺サイトが登場しました。メールやスマートフォンのショートメッセージを通じ、消費者の口座や暗証番号を盗み取ろうとするケースが急増したのです。知名度の高い銀行を装う手口は大胆不敵であり、今後の模倣犯罪増加が憂慮されます。
クラウドサービスへの不正アクセス
サーバーなどの情報システムを社内に構築せずとも、運用が可能になるクラウドは、企業にとって魅力的なサービス。金融機関にとっても同様で、特に地方銀行での導入が相次いでいます。しかしサービスの運営側と利用側が抱える多くのアカウントを通じて不正ログインを試み、顧客情報を漏洩させようとするサイバー犯罪も発生しています。利用側にセキュリティ対策が必要なのはもちろん、確実な信頼がおける運営会社を選ぶ慎重さが求められています。
ウイルス感染
ウイルス感染の危険性はパソコン・スマートフォンユーザーに周知されており、多くの人がセキュリティソフトのインストールなど、対策を実施しています。また「ネット上の怪しい広告をクリックしない」「不正ダウンロードはしない」といったルールはすでに共通認識だといえるでしょう。しかし犯罪者の手口は巧妙化しており、フリーWi-Fiや外部メモリへの接続だけで、ウイルス感染してしまうことも。銀行口座にまつわる情報を狙うウイルスに感染したデバイスには「口座情報やワンタイムパスワードの入力画面が頻繁に表示される」などの症状が現れるため、各銀行は注意喚起を促しています。
クレジットカードの不正ログイン…代表的な手口、3つ
不正ログイン後に悪用されやすいのは、クレジットカードにまつわる個人情報。上記のフィッシングやウイルス感染が懸念されるのはもちろん、クレジットカードに特化した手口もあるのでみていきましょう。
スキミング
スキミングという言葉には「掠め取る」という意味がありますが、現在はカード犯罪の手口を示す単語として定着しています。インターネット登場以前の時代から、クレジットカードの磁気データを読み取る機器であるスキマーが存在し、クローンカード製造に使われていました。近年はサイバー犯罪者が、ECサイトに特殊なJavaScriptのコードを埋め込む「オンラインスキミング」が横行。ユーザーが支払いフォームに入力するクレジットカード番号や有効期限などを掠め取ったうえで遠隔サーバーに送信、悪用しています。
クレジットマスター
サイバー犯罪者が確率論に基づく試行を繰り返し、クレジットカード番号を割り出すという手口。たとえば日本のクレジットカード番号は16桁ですが「最初の6桁はカード会社を表す番号、残りの10桁が個人番号」と決まっています。その規則性を突き、個人番号を特定するのです。犯罪者は3~4桁の数字であるセキュリティコードも、同様に特定します。なお有効期限は最長5年なので、5(年)×12(月)の組み合わせ特定は、さほど難しくありません。こうした試行には労力が必要ですが、近年は、コンピュータ上の計算ツールを使い、番号を割り出しているといわれています。
ダークウェブ
ダークウェブとは、インターネット上の一般的なサイトと異なり、検索結果に表示されず、通常のブラウザからではアクセス不能な仕組みを持つサイト。ダークウェブ上では薬物や児童ポルノ動画、そして武器やマルウェアまでの取引が、匿名で行われています。そうした取引の中には、クレジットカード番号などの個人情報も。何らかのかたちで流出した情報を、匿名同士で売買しているのです。支払いには匿名性の高い暗号資産が使用されることが多く、犯罪者の特定を難しくしています。
不正を事前に見つける「不正検知ソリューション」とは?
ここまでの内容を一読すると、サイバー犯罪者が企業サイトなどを通じて金融機関のアカウント情報、そして個人のクレジットカード情報などを狙い、さまざまな策謀を張り巡らせていることがわかります。しかもその手口は変化しているので、最新の対策を講じなくてはなりません。そこで注目したいのが、不正検知ソリューションです。
不正検知ソリューションはサイバー犯罪対策に特化して開発されたシステムで、たとえば導入企業がECサイトを運営している場合、利用者の端末や配送先、IPアドレス、そして購入頻度などの情報をシステムがチェック。不正ログインの可能性が疑われる注文を、選別してくれます。
不正検知ソリューションのなかには、全世界で数千社の導入実績を持つサービスも。そうしたシステムの場合、不正ログインに使用されたデバイスの最新情報が共有されるため、新参の攻撃にも素早く対応することが可能です。なお不正検知ソリューションなどのシステム利用は、2018年に改正された「割賦販売法」において、決済代行会社やクレジットカード加盟店の義務として定められています。
AIを活用…最新「不正検知ソリューション」のメリット
不正検知ソリューションには、さまざまな種類があります。具体例を挙げると「データベースセキュリティソリューション」「メールシステム強化ソリューション」「ID管理ソリューション」など。それぞれの特徴を理解し、適切な導入を検討することが大切です。
また近年は、多様な分野で活用される人工知能(AI)を導入した最新型不正検知ソリューションも登場しています。最新型は以前のシステムに比べ、AIの自動学習機能を効率的に活用。新手のサイバー攻撃登場後に、「管理者がプログラム設定を追加」→「アップデート」などの手順を踏まずとも、素早い対応力を発揮。人力に頼らない、常時・即時の不正ログインブロック対応が期待できます。
不正ログインは、犯行前に企てられた多数のサイバー犯罪の積み重ねにより、成功しています。その痕跡ともいうべきデータを無駄にせず、抑制に役立て、企業と消費者を守らなくてはなりません。不正検知ソリューションの導入は、サイバー犯罪対策の有効な一手として機能してくれるでしょう。
