不正アクセスで廃業のECサイトも、第2の「7Pay」増加か

  • このエントリーをはてなブックマークに追加

偽決済フォームで個人情報取得 →リスト型攻撃を実行

 

 不正アクセスはより高度化している。偽決済フォームを通じて個人情報を取得した不正者は、不正に情報を取得したクレジットカードが停止される前に、さまざまな通販サイトを標的にして、本人になりすまして不正購入を働くのだ。ECサイトにログインする際には、専用ツールなどを利用し、さまざまなID・パスワードを掛け合わせてログインを試みるリスト型攻撃が実行される。

 

 今年の上半期にはこの流れが実際に起きていた。サイト改ざんによる不正アクセスは、昨年の11月から今年の3月にかけて頻発したが、4月以降はリスト型攻撃が猛威を振るった。

 

 ユニクロ公式オンラインストアとジーユー公式オンラインストアは、4月に第三者からリスト型攻撃を受けた。4月23日から5月10日に渡るアクセスで閲覧された可能性がある個人情報は46万1091件に上った。その後、家電のコジマ通販サイト、イオンカードの会員サイトにもリスト型攻撃が起きた。ユニクロとコジマの通販サイトに実害はなかったが、イオンカードの会員サイトでは2200万円の実害が発生した。

 

 

▽ 関連記事

 

 

 

不正アクセスに気づかないケースも、公表されない事故が危険!

 

 セキュリティ対策の専門家によると、リスト型攻撃やサイト改ざんなどの不正アクセスは、基本的にユーザー側からの指摘がないとわからないのだという。よってユニクロの事例は、なりすましログインが46万件に達していたのに、そこまで誰も気が付かなかったということになる。これは不正ログインだとばれないように、巧妙な手口でリスト型攻撃が行われていたことの証でもある。

 

 また、この専門家は、公表されたセキュリティ事故よりも、公表されていないケースの危険性を指摘した。不正アクセスを受けていたとしても、サイト運営者や利用者の誰もが気がつかないというケースもあるのだという。例えば、不正者がサイトを偽決済フォームに改ざんしたのに、誰も気が付かなかった場合、個人情報が永久に抜かれ続けるという恐ろしい状況となる。

 

 ではどうすれば、こうした不正アクセスに気づくことができるのだろうか? 不正対策ツールを入れることが、最も効率的なのだが、導入していない通販会社は多い。不正対策ツールを提供するA社は、「これだけ不正アクセスが起きているのに、対岸の火事として見ている会社はいまだに多い」と業界に警鐘を鳴らした。ただ、立て続けにリスト攻撃がニュースになった4月以降は、さすがに問い合わせが急増しているという。

  

 不正があった場合の損害を補償する不正対策ツールもあり、こうした不正対策ツールは車の保険に似ている。サーバーのセキュリティは車の自賠責保険と一緒で、加入が義務づけられているもの。外部からの不正アクセスを監視・対策する不正対策ツールは、車両保険のように、何か事故が起きれば補償してくれるものもある。また、不正アクセスを監視し、不正者からの攻撃からECサイトを守ってくれる。これは車にドライブレコーダーが設置され、それを警官が常に見ていてくれているような状態だ。

 

 不正対策ツールを入れていない無保険状態のECサイトはいまだに多い。ECサイトを狙い撃ちした偽フォームによる個人情報取得やリスト型攻撃は、今日もどこかで密かに実行されている。

(山本 剛資)

 

▽ 関連記事

 

 

 

 

 

1 2

関連記事