【Webサービス担当者必見！】不正ログインを防止するための3つのステップ

不正ログイン事件は、もはや社会問題なんです

ますます手口が巧妙化する不正ログイン事件。前回記事『不正ログイン対策が今すぐ必要な5つの理由』でもお伝えしたとおり、不正ログインは目前の脅威としてすべてのWebサービスに襲いかかっています。しかし、状況をキチンと分析し、正しい手順で対策を講じることで、大切なWebサービスをちゃんと守ることができるのです。今回は、さまざまな企業さまからのヒアリングをもとに、不正ログインを防止するための3つのステップについてお話します。

EC-CUBE公式アドバイザーが、ツール選びからサイト制作、マーケティング・セキュリティの領域までアドバイスいたします。ご相談窓口はこちら

ステップ1: 現状分析と攻撃トレンドの把握

従来の不正ログイン攻撃は、同一のIPアドレスから１秒間に数十回の施行を実行するものが主流でした。“成功するまでしらみつぶしに何度もID・パスワードの組合せを施行する”というタイプです。

しかし近年、これらの攻撃は非常に巧妙なものに進化してきています。具体的には、下記のような新手の手口が見られます。

• 十数分間に1回ずつのログイン施行を行う低速タイプのもの
• 1回施行するたびにIPアドレスを変更し、高速で施行を繰り返すもの

上記のような動きを示しているIPアドレスの有無を、まずはご確認ください。
ログイン施行回数の多い同一アカウント上位5％の情報から、「周期的なログイン施行が無いか」「IPアドレスが都度代わっていないか」をご確認頂くことで、巧妙化するリスト型攻撃を初期の段階で検知できるかもしれません。

ステップ2: 現状対応策の見直し

Webサービスを現在運営されている皆様は、WAF（Web Application Firewall）・ワンタイムパスワード・SMS認証・リスクベース認証・そしてテキスト型のCAPTCHAなど、ユーザを守るためにさまざまな対策を実装されていらっしゃるかと思います。
これらの対策は以下の通り大きく2つに分けることができます。

1）入口を守るもの（=不正ログインや個人情報取得をさせない）

攻撃パターンA: 同一IPアドレスによる1秒間に数十回の施行
有効な対策: WAF

攻撃パターンB: 低速タイプのログイン施行/複数のIPアドレスによるログイン施行
有効な対策: ワンタイムパスワード・リスクベース認証・CAPTCHA

2）出口を守るもの（=不正なポイント交換や商品購入をさせない）

攻撃パターンC: 不正ログイン後の商品購入やポイント交換：
有効な対策: ワンタイムパスワード・SMS認証

ステップ3: 必要な対応策の検討

入口・出口のうち、実害の出る出口の対応を実装する企業さまが多くいらっしゃいます。しかし最近では、入口から侵入し個人情報を取得したのち、時間をおいてから（時には半年から一年経ってから）出口を攻撃するケースなどもあるため、入口を守ることの重要性がますます高まってきているのです。

またたとえ実害とはならなくとも、ハッカーからすると個人情報自体が有益な情報となりえます。そのため入口である不正ログイン対策を怠ると、ほかサイトへの攻撃の温床となったり、個人情報リストの売買などの元凶となってしまうのです。

不正ログインは早期発見がむずかしく、「あとになって実害が出てはじめて調査を開始する」というケースが多くあります。こうなってしまうと調査は難航し、調査コスト・ユーザへの対応コストが増大します。

貴社の大切なWebサービスをしっかり守り、重要なユーザ情報を外敵の侵入から守りぬくためにも、正しいステップで不正ログイン対策を行うように心掛けましょう。