SNSだけではない! 金融機関からECサイト、交通機関、インフラサービスまで。個人アカウントの乗っ取りが危ない。
インターネットの普及により、ユーザーはPCやスマホで簡単にサービスの申し込みや手続き、ショッピング、利用状況の確認など多くのことを行えるようになりました。その一方で、企業やサービスはユーザーアカウント情報を含む膨大なデータの管理をすることになります。他企業やユーザー側から漏えいしたデータを悪用したリスト型攻撃も絶えず、各企業に自衛策が求められています。今回は業界ごとに、アカウントのなりすましや乗っ取りが起きた場合に起こりうるリスクを考えます。
◆金融機関(銀行・カード会社など)
銀行に行かなくてもオンラインで送金ができたり、クレジットカードの利用状況を確認できたり……金融サービスはインターネットの発展により、消費者にとって格段に便利なものになりました。一方でハッキングを許せば、不正送金やクレジットカード情報の漏えい、ひいては不正利用など、直接的な金銭被害が発生することになります。クレジットカードの不正利用は2017年、前年の約1.7倍となる236.4億円に上りました[1]。
さらに利用者の経済状態や利用状況など、金融機関が所有する情報は、ダークウェブ上で高値で取引されると言われており、ハッカーにとっても貴重なデータとなります。
◆ECサイト
ECサイトの登場により、誰もがどこにいても、欲しいものをクリック1つで購入できるようになり、ショッピングの風景はガラッと変わりました。一方で、ECサイトを狙ったサイバー攻撃も多発しています。ECサイトの実に半数近くがサイバー攻撃を経験しているとの調査結果もあり、そのうち7割以上がアカウント情報や住所・電話番号等の個人情報を漏えいさせるなどの被害を受けています[2]。盗まれたアカウント情報が使用されれば、物やサービスの不正購入や、ポイントの不正利用などにつながります。
さらにこれまでは、ユーザーがスムーズに買い物を楽しめるようカード情報を保存しているECサイトも多々ありました。しかしこれによりクレジットカードの不正利用が急増したため、今年の割賦販売法改正によりECサイトにも「多面的・重層的な不正使用対策の導入」が求められました。
◆交通機関(鉄道・航空など)
個人が利用する鉄道や航空など交通機関のサービスと言えば、チケットの購入などが可能な会員サービスです。飛行機をよく利用する人は、マイルの確認や利用、提携ポイントへの交換なども、オンラインで済ませることが多いでしょう。こうしたアカウントが乗っ取られた場合、ハッカーにも同様の行為を行わせてしまう可能性があります。実際過去には、チケット販売サイト上でなりすましによるチケットの不正購入[3]や、航空会社のサイトにおけるマイルの不正交換[4]等が発生しています。
さらに最近ではカードの定期券や交通系電子マネーに代わり、スマホアプリを使う人も増えてきました。チャージもスマホで簡単にでき、売店やコンビニ、飲食店など決済に使える場所も広がっています。財布代わりに使用している人も多いでしょう。物理的にスマホを紛失しなくてもアカウント情報を盗まれると、クレジットカード同様に不正利用に遭う可能性があります。
◆インフラ(電力・ガスなど)
インフラもスマート化が進みます。電力の計測器は次々とスマートメーターに切り替わり、これに伴い家でも簡単に電力の使用実績を確認できるサービスも登場しています。便利になる一方、もちろん不正なアクセスを許せば、家庭の電気使用状況などが読み取られてしまう危険性があります。スマート化により、オンラインサービスを利用する消費者が増えると予想され、一層の情報セキュリティ対策が求められます。ガスも今後スマートメーターへの切り替えが進む見込みで、同様に情報セキュリティについても対応が求められます。
◆医療機関・医療サービス
最近では、オンラインで予約を取れるようになった医療機関も増えました。医療情報というものは個人にとって非常にセンシティブな内容であり、その科を受診していること自体を知られたくない人も多いでしょう。
また薬局の新しいサービスとして、服薬している薬の情報を記録する「お薬手帳」を電子化し、スマホ等で閲覧できるサービスも出てきました。こうした医療データも、ダークウェブで高額で取引されていると言われており[5]、ハッカーに狙われる可能性も高くなっています。
◆SNS・フリーメール
SNSやフリーメールが所有する最も貴重なデータは、個人情報です。個人の行動を特定する情報を含む、非常にプライベートな情報まで集まるのが特徴です。この情報を狙ったサイバー攻撃も急増しています。今年発生したFacebookの情報漏えいでは、実に世界8700万人ものユーザーデータが流出したことが分かっています[6]。
またSNSやメール上では、そのつながりを悪用したサイバー攻撃も頻発しています。乗っ取られたアカウントからメッセージやリンクを送りつけ、特定のページに誘導したりウイルスを拡散したりするサイバー攻撃を身近で目にしたことも多いでしょう。LINEが昨年行った調査によると、自分や周囲の人間でSNS等のアカウント乗っ取りを経験した人がいると回答した人は、全体の4割近くに上りました[7]。アカウントの乗っ取りやなりすましが発生すれば、ユーザーの心理的な負荷も大きく、ユーザー離れも危惧されます。
◆企業・教育機関
ビジネスや研究においても、広く利用されるようになったクラウド。情報・データのシェアや共同作業などが簡単になり作業能率は格段に上がったと言えるでしょう。一方で、企業や教育機関が従業員や学生に提供しているメールアカウントやクラウド、システムへのアクセス権が不正に利用されるなどの事態が起きた場合、内部の機密データが流出する危険も考えられます。教育機関では、企業ほど情報セキュリティ対策が進んでいないことも多く、サイバー攻撃のターゲットになりやすくなっていることも考えられます。実際、これまで国内外の数々の教育機関がサイバー攻撃の被害に遭い情報を漏えいさせています。
また、企業がマーケティング目的でSNSを運営することも一般的になりましたが、このアカウントを乗っ取り、企業にダメージを与える情報を拡散するなどのサイバー攻撃も発生しています。
このように、業界を問わず個人ユーザーとの接点を持つ全ての企業・サービスに、不正アクセスのリスクが伴います。自社のデータ管理を厳重にするだけでは、リスク型攻撃などを防ぐことはできません。ユーザーの認証段階において、不審なアクセスを検知し、なりすましや乗っ取りを防ぐ取り組みが求められます。
(文/星野みゆき 画像/© sdecoret – Fotolia)
参考:
[1] 一般社団法人 日本クレジット協会. (2018). クレジット関連統計
https://www.j-credit.or.jp/information/statistics/
https://www.trendmicro.com/ja_jp/about/press-release/2017/pr-20170131-01.html [3] Security NEXT. (2017). フジテレビのチケットサイトで不正ログイン – 一部で不正購入も
http://www.security-next.com/087479 [4] INTERNET Watch. (2014). JALマイレージに不正アクセス、約60人のマイルがAmazonギフト券に交換される
https://internet.watch.impress.co.jp/docs/news/633807.html [5] S, Thielman. (2017). Your private medical data is for sale – and it’s driving a business worth billions. The Guardian
https://www.theguardian.com/technology/2017/jan/10/medical-data-multibillion-dollar-business-report-warns [6] N, Badshah. (2018). Facebook to contact 87 million users affected by data breach. The Guardian
https://www.theguardian.com/technology/2018/apr/08/facebook-to-contact-the-87-million-users-affected-by-data-breach [7] LINE. (2017). 【コーポレート】LINE、6月9日を「サイバー防災の日」記念日として登録
https://linecorp.com/ja/pr/news/ja/2017/1749