さまざまなサイバー攻撃の手口による被害が後を絶ちませんが、その中でも近年急増している手口の一つが「不正ログイン」です。IDやパスワードなどのログイン情報を不正に入手した悪意ある第三者に不正ログインされた場合、個人情報・機密情報の漏えいやサーバー・情報システムの停止、アカウントの乗っ取りなどさまざまな被害に遭う危険性があります。
実際に2024年においても、某セキュリティー企業や某証券取引委員が運営するSNSアカウントが乗っ取られる被害などが確認されています。
今回は急増する不正ログインの手口や被害事例、アカウントの乗っ取り被害に遭わない為の対処法・対策について徹底解説します。
まず、近年急増している不正ログインの被害状況について解説します。
2024年4月にIPA情報処理推進機構が発表した安心相談窓口の相談状況のレポートによると2024年1月~3月に相談窓口に寄せられた相談件数の中で多かった手口の1位は「ウイルス検出の偽警告」で1,385件、2位は「不正ログイン」で149件、3位は「宅配便業者・通信事業者・公的機関をかたる偽SMS」で102件でした。また、不正ログインの相談件数は前四半期2023年10~12月に比べ約44,7%増の149件が寄せられました。
不正ログインの手口が急増する中でアカウント乗っ取りなどの被害に遭わないためには、手口を理解し対策を講じる必要があります。
<出典元:IPA独立行政法人 情報処理推進機構「情報セキュリティ安心相談窓口の相談状況[2024年第4四半期(1月~3月)]」>
次に、アカウントの乗っ取りについて解説します。
アカウントの乗っ取りとは、悪意ある第三者が不正に入手したログイン情報から他人のアカウントに不正アクセスし、そのアカウント権限を奪う行為のことです。万が一アカウントが乗っ取られた場合、個人情報・機密情報の漏えいや金銭的な被害、会社の信頼が損なわれる恐れがあるだけでなく、犯罪の加害者になる危険性もあります。
実際に乗っ取られたアカウントは、なりすまし犯罪に不正利用される可能性が高く、2019年に不正利用されたアカウントのうち53%がなりすまし犯罪に悪用されていました。このように一度でもアカウントの乗っ取り被害に遭うと大きなトラブルに繋がるリスクが高いです。
次に、悪意ある第三者がどのようにしてアカウントを乗っ取っているのか、用いられている主な手口について解説します。
なりすまし電話をかけて個人情報を窃取する・PC画面を覗き見してログイン情報を窃取する・ごみ箱に捨てられた書類や廃棄された電子機器から個人情報を窃取するなど、インターネットを経由せずにログイン情報を窃取するアナログ的な手口です。
メールやSMS、Webサイト、クラウドストレージなど、さまざまな経路からPCをマルウェア感染させてログイン情報を窃取する手口です。マルウェアの中には、ユーザーがキーボードに入力したIDやパスワードなどの情報を窃取するものや、悪意ある第三者が自由にPCやサーバーに不正侵入できるものなど、悪質なマルウェアが存在します。
悪意ある第三者が有名企業や取引先を装いメールやSMSを送信し、本文に添付したURLから偽のWebサイトへ誘導してサイト内でログイン情報やクレジットカード情報を入力させることで情報を窃取する手口です。
想定される数字や文字列のすべての組み合わせを総当たりで試すブルートフォース攻撃(総当たり攻撃)を行い、ログイン情報を窃取する手口です。単純なパスワードや予測しやすいパスワードを設定している場合はすぐに解読される危険性が高いです。
特定のユーザーがまだアカウントを作成していないサービスに対して、悪意ある第三者が不正入手したメールアドレスを使って事前にアカウント作成し、乗っ取る手口です。事前にアカウントを作成しておくことで、後にユーザーが作成したアカウントと連動させる・事前にアカウントにマルウェアを侵入させておくなどの方法でアカウントを乗っ取ります。
< サイバー攻撃に関する記事はこちら >
次に、アカウントが乗っ取られる原因について解説します。
予測されやすい単純なパスワードに設定していることで簡単にログイン認証が突破されてしまいます。アカウントの乗っ取り被害に遭った企業の中でもよく見られる原因の一つが「単純なパスワードの設定」です。「123456」「asdfg」「qwerty」のようなキーボードの配列通りの文字列や「password」「氏名+生年月日」「企業名」など、予測されやすい文字列を避けた推測されづらいパスワードを設定しましょう。
フィッシング攻撃を行い、ユーザーに偽のWebサイトにログイン情報を入力させることで不正にログイン情報を入手します。中には悪意ある第三者が認証情報を盗みながらリアルタイムで不正ログインを試みる「リアルタイムフィッシング」という攻撃手法もあります。リアルタイムフィッシングではログイン情報だけでなく2要素認証に必要な認証コードの情報も窃取されるため、2要素認証を有効にしていても認証が突破される危険性があります。
また、非公式のソフトやアプリと気づかずにダウンロードしてしまうと情報を窃取するマルウェアに感染し、ログイン情報が窃取される危険性があります。そのため、必ず公式サイトから正規ソフトやアプリをダウンロードしてください。
不正アクセス・標的型攻撃メール・フィッシング詐欺などにより窃取されたメールアドレスやパスワードなどのログイン情報が既に「ダークウェブ」に出回り流出している可能性があります。ダークウェブとは、一般的な検索エンジンではアクセスできない匿名性のWebサイトのことで、個人情報や薬物など違法性が高いコンテンツや物品が取引されています。
公共施設や飲食店、町中などで提供されているフリーWi-Fiはセキュリティが弱いものが多く、中には犯罪を目的に作られたWi-Fiも存在します。フリーWi-Fiに接続することでマルウェアが端末に侵入し、個人情報の窃取やクレジットカードを不正に利用される危険性があります。
< セキュリティの脆弱性に関する記事はこちら >
次に、過去発生したアカウントの乗っ取りによる被害事例をご紹介します。
国内の大学教員らがフィッシングメールに記載されたURLをクリックし、偽のWebサイトの入力画面にメールアカウントのパスワードを入力してしまったことで、アカウントが乗っ取られました。その結果、7件のメールアカウントが乗っ取り被害に遭い、迷惑メールの送信元に悪用されました。乗っ取られたアカウントから送信していた迷惑メールは計4万1,697件にも及びました。
自社の公式SNSを複数の社員で運用していましたが、突然アカウントにアクセスできなくなり、不正な投稿が確認されました。その他、複数のサービスでパスワードを使い回していたり誕生日など単純なパスワードに設定していたりしたことで、Facebookのアカウントが乗っ取られた事例もあります。
次に、万が一アカウントが乗っ取られた場合の対処法について解説します。
アカウントにログインできる場合は、悪意ある第三者による再ログインを阻止するために早急にパスワードを変更してください。パスワードの変更時には『似たようなパスワードや予測されやすい単純な文字列を避ける』『乗っ取られたメールアカウントで管理しない』などのポイントに注意して設定を行ってください。
また、万が一複数のサービスで同じパスワードを使い回している場合は、対象となる全サービスのアカウントのパスワードも早急に変更してください。
乗っ取られたアカウントのサポートデスクへ連絡し、アカウントの復旧処置を求めましょう。また、オンラインバンキングのアカウントが乗っ取られた場合は、早急にクレジットカード会社に連絡しクレジットカードとアカウントの停止措置をとってください。
公式SNSが乗っ取られた場合、自社の公式サイト等など他の媒体で公式SNSが乗っ取られている旨の注意喚起を掲載し、被害の拡大を防止してください。
セキュリティ強化のために、2要素認証や多要素認証を有効にする・ログイン時の通知を受け取る設定を有効にするなど、アカウントのセキュリティ設定を行いましょう。
アカウントが乗っ取られた原因がそのアカウントと連携している外部サービス(サードパーティ―)にある可能性も考えられます。その場合、サードパーティーに連携している他のサービスにも被害が拡大する恐れがあるため、サード―パーティとの連携を解除しましょう。
端末がマルウェアに感染していることでログイン情報が窃取された可能性があるため、ウイルス対策ソフトで端末のスキャン・駆除を行いましょう。
乗っ取られたアカウントの復旧には時間と労力が必要です。実際にIPAの情報セキュリティ安心相談窓口には「サポート窓口からなかなか返信が来ず、復旧の見込みが立たない」「サービス事業者に乗っ取りと認めてもらえない」などアカウントの復旧に関する悩みも多数寄せられています。
最後に、アカウントの乗っ取り被害に遭わないためのセキュリティ対策について解説します。
アカウントのログインパスワードは氏名や生年月日、短い単語や連続した数字など単純なパスワードや推測されやすいパスワードは避け、大文字・小文字の英字・数字・特殊文字を組み合わせた長く複雑なパスワードに設定しましょう。
また、複数のサービスで同じログイン情報を使い回している場合、万が一、ログイン情報が漏えいした際に芋づる式に複数のアカウントが乗っ取られる危険性があります。そのため、同じログイン情報の使い回している場合は早急に各サービスのパスワードを設定し直しましょう。
2要素認証や多要素認証の設定が設けられているサービスでは認証方法を利用し、強度を高めましょう。全ての不正アクセスが防げるわけではありませんが、2要素認証や多要素認証を有効化することでシンプルな不正アクセスであれば防げるケースがほとんどです。
2要素認証・多要素認証は『*知識情報・*所持情報・*生体情報』の異なる3種類の要素を組み合わせることで強度を高める認証方式で、2種類を組み合わせた方式が2要素認証、3種類すべてを組み合わせた方式が多要素認証と言います。
*知識情報…ID・パスワード、秘密の質問などの情報
*所持情報…ICカード、SMSやメールで通知されるワンタイムパスワードなどの情報
*生体情報…顔や指紋などの情報
複数の社員で同じアカウントを共有しSNSを運用している場合、使用者全員が適切に管理・運用されているか定期的に確認しましょう。
不審なWebサイトやなりすましメールに添付されているURLを開くと、アカウント情報を窃取するマルウェアに感染してしまう・誤って偽のログイン画面にログイン情報を入力し、情報漏えいしてしまうなどの危険性があります。そのため少しでも不審に感じた場合はWebサイトやURLは開かないよう注意しましょう。
古いバージョンのOS・ソフトウェアを使用し続けていると、脆弱性を狙われる可能性があります。OS・ソフトウェアを最新バージョンにアップデートすることにより、新しく発見された脆弱性が修正されるため、被害に遭うリスクが抑えられます。そのため、OS・ソフトウェアは常に最新の状態に保ちましょう。
セキュリティ対策ソフトやメールセキュリティサービスを導入することで、マルウェアの不正侵入や迷惑メールの受信を防ぎます。また、定期的にウイルスチェックを行うことで、万が一マルウェアが侵入した場合も早期段階で検知・駆除し、被害を最小限に抑えることができます。
以上、急増する不正ログインの手口や被害事例、アカウントの乗っ取り被害に遭わない為の対処法・対策について徹底解説しました。
― 急増する不正ログイン被害
― アカウントの乗っ取りとは
― アカウント乗っ取りの手口とは
― アカウントが乗っ取られる原因
― アカウント乗っ取りの事例
― アカウントが乗っ取られた場合の対処法
― アカウント乗っ取りに遭わないための対策
一度でもアカウントの乗っ取り被害に遭うと、個人情報・機密情報の漏えいや金銭的な被害、犯罪の加害者になるなど、大きなトラブルに繋がる危険性があります。年々増加する不正ログイン・アカウントの乗っ取り被害に遭わないためには、セキュリティ対策を強化する必要があります。
ソニックスでは、セキュリティ対策ソフトやメールセキュリティサービスなど、さまざまなセキュリティ商材を取り扱っています。また、セカンドオピニオンとして社内のセキュリティ対策の見直しもご案内しています。ご不安な点・お困りごとなどありましたら、まずはお気軽にソニックスにご相談ください。
< セキュリティ対策に関する記事はこちら >
