認証とアクセス事故
よくある二段階認証は、ログインID/パスワードを入力すると予め登録しているメールアドレスに 「ワンタイムパスワード」や「認証コード」が送られて来て、そのコードを指定サイト上で入力 することでログイン可能になるというものです。
このような認証方法は“多要素認証”と呼ばれ、アクセス権限を得るのに必要な本人確認の ために複数の要素をユーザーに要求する認証方式です。
昨年起きた7pay不正アクセス事故の際にも「二要素認証等の追加認証の検討が十分ではなかった」と言われ多要素認証の重要性がニュースになったのは記憶に新しいところです。
サイバー攻撃者の多様な手口
しかしサイバー攻撃者は、この二段階認証でさえ問題なくクリアして不正アクセスを行ってきます。
これは認証時にリスト型攻撃などの方法を使い無差別にログイン試行する方法や、認証時に必要な情報を得るためフィッシングの手口を使ったりする方法が多く確認されています。
もしくは二段階認証を行うサーバに不正コードを仕込み、分からないように認証コードを入手する方法を確立させています。
もう既に中国ブラックマーケットでは…
既に中国ブラックマーケットでは、日本の二段階認証のアカウントが販売されています。
これによって特定サイトの二段階認証は全く無防備な状態となり、不正にログインされて不正利用されてしまいます。
二段階認証を利用しているサイトでも安心とは言えない状況です。
悪意の犯罪者達はこれらの情報を利用して不正ログインし、各サイトで本人になりすまし、様々な不正行為が繰り返し行われます。
<二段階認証に関連する不正ログインの注意喚起:参考URL>
Amazon:https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201909120
LINE:https://linecorp.com/ja/security/article/251
増加する不正ログインの被害と対策
特に今年の2月以降、不正ログインの事例が増加しています。
新型コロナウイルスの影響でインターネット利用が増加し、様々な環境下でサイバー攻撃者は着々と不正アクセスを行っています。
該当する団体・企業はこのような状況を正確に把握し、再度対策を立てなければなりません。 また該当するサイトのアカウントを保有する企業ならびに個人も、十分に注意し対策を立てることが重要です。
不正ログインにより被害に合うと、個人はもとより企業としての被害は、図り知れません。 事前に情報を入手し、セキュリティ対策を立てることをおススメ致します。
N-SIPSはハッキングに関連するセキュリティ情報を提供するサービスです。
中国のブラックマーケットの中からハッキングに関する様々な情報を収集し、事前兆候や事前準備情報を含む未知の情報を主に専用サイトにて提供します。
詳しく知りたいかたは、ぜひお問い合わせください!