えもんブログ

セキュリティからライフハックまでゆるくとどけるWEBメディア

【不正アクセス】利用中のサービスが不正アクセス被害にあった場合どうする?【対処】

 こんにちは、えもんです。

 

 生活にITサービスが欠かせない現代ですが、近年、身近なITサービスが不正アクセス被害に遭うケースが増えてきています。

世間を大きくにぎわせた7payは記憶に新しいですね。

 

【約5,500万円の】7payの何がマズかったのか。【不正利用】

 最近では、クロネコヤマトが提供する「クロネコメンバーズ」の個人情報漏洩や、三井住友VISAカードスマホアプリである「Vpass」への不正アクセスがニュースになっていますね。

www.nikkei.com

www.nikkei.com

 

このように不正アクセス被害は毎年のように起こっており、ITサービスの利用においては常に不正アクセスの危険さらされていると認識しておいた方が良いでしょう。

明日は我が身というやつです。

自分の個人情報が漏洩、、、しかもお金が関わるクレジットカードの情報が漏れている可能性を考えると気が気でなくなってしまいますね。

 

漠然とした不安を持つより、不正アクセスについて理解し、適切な対処をすれば被害を防ぐ・最小限にすることができます。 

今回は、自分が利用しているサービスにおいて不正アクセス事件が起こった際に確認しておくべきこと・不正アクセス被害のリスクを下げる方法を紹介したいと思います。

不正アクセスについて

一般的に不正アクセスとは下記のことを指します。

不正アクセスとは、あるコンピュータに対して、正規のアクセス権を持っていない者が、不正な手段によってアクセス権を取得し、ネットワークを通じてそのコンピュータを利用することである。あるいは、そのような利用を試みること。

そして、この不正アクセスはどのようにして起こるのでしょうか。

総務省経済産業省が国内の不正アクセスの発生状況を調査したレポートを定期的に出しています。

総務省|不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

f:id:emonnao:20190829194812p:plain

不正アクセス行為の発生状況

 不正アクセス行為には大きく、識別符号窃用型とセキュリティ・ホール攻撃型があります。識別符号窃用型というのは何らかの方法で手に入れた第三者のログイン情報を利用して不正アクセスを行うことです。

セキュリティ・ホール型はシステムのバグを突いて不正アクセスをする方法です。

 

不正アクセスの件数としてはこの識別符号窃用型が圧倒的に多い状況です。

中でも「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」の件数が目立ちますね。

f:id:emonnao:20190829194753p:plain

不正アクセス後の行動

攻撃者からすると不正アクセスは手段であって目的ではありません。

不正アクセス後の行為を見てみると情報の不正入手や不正送金、インターネットショッピングでの不正購入が多くを占めています。

インターネットバンキングの不正送金の件数が平成28年を境に減っているのは、サービス側のセキュリティが強固になってきたからでしょうか。

 

いずれにしても、個人の情報・金銭を目的として多くの不正アクセスは行われています。

利用中のサービスが不正アクセス被害!その時にどうする?

あなたが利用中のサービスで不正アクセス被害が発生しました。どう行動するのが適切でしょうか?

もちろん「ふーん。そうなんだぁ。」ではいけません。

被害内容の確認

 ニュースでは大々的に「○○サービスで何万件の情報漏洩!」と視聴者の不安を煽るような表現が流れます。

自分の利用しているサービスだと不安に駆られると思いますが、まずは被害内容の確認を行いましょう。

ほとんどの場合、不正アクセス被害にあったサービスの提供会社が以下のようなお知らせを公開します。

クロネコメンバーズにおける不正ログインについて | ヤマト運輸

いつ、何のサービスで、何があったのか。 など現時点で判明していることが詳細に書かれています。

ここで意識したいことは、どのような情報が盗られる状態にあったかということです。

どのような情報が盗られているか。それが自分にとって大切な情報か。をまず確認しましょう。

不正アクセスされていないかの確認

不正アクセスについての内容を把握できたら、次は利用履歴を確認して不正利用されていないかの確認を行います。

ログイン履歴を確認して変な時間帯にログインしていないかについて調べるのが有効です。最近では、普段と異なる環境からログインすると警告メールを飛ばすようなサービスもあるため、同時にメールのチェックも行っておきましょう。

クレジットカードであれば、普段使わないサイトからの利用や心当たりのない購入履歴が無いか確認しましょう。

 

不正アクセスは気づかない中で行われている事もあるため、このようなチェックは定期的に行った方が良いでしょう。

不正アクセスが疑われる場合の対処

パスワードの変更

不正アクセスが疑われる場合、利用中のアカウント情報(ID、パスワード)は攻撃者に既に知られているということです。攻撃者はそのアカウント情報で他の様々なサービスでも不正アクセスを試みようとするでしょう。

被害を広げないためにも、同様のパスワードを利用しているサービスがある場合は全てのパスワードを変更しましょう。

クレジットカードの停止

不正アクセス被害のあったサービスでクレジットカード情報を登録していた場合は、すぐさまクレジットカード会社に連絡して止めましょう。

高額な買い物など不正に利用される可能性があるため気づいた際には素早く対応しましょう。

不正アクセスによる被害を防ぐために

安易なパスワードを設定しない

「password」のような安易なパスワードは攻撃者からすると格好の的となります。

複雑なパスワードを設定するように心がけましょう。

ちなみに大文字、小文字、数字、記号を組み合わせて9文字以上のパスワードにすると安全と言われているようです。

 2要素認証の設定

これはサービスによって異なりますが、2要素認証が設定できるサービスの場合は積極的に利用するようにしましょう。

2要素認証とはパスワードのような知識認証と普段持っているスマホで認証する所有物認証、指紋のような生体認証のうち2つをかけ合わせたものです。

2要素認証にすることによって利便性は少し下がりますが、より強固なセキュリティレベルを保つことができます。

まとめ

ITサービスが生活に欠かせないものとなった現代、不正アクセスの危険性はより身近になっています。重要な情報を預けるサービスは最小限にしてログインには2要素認証を設定する、クレジットカードを利用した際にメールを飛ばすなど、不正アクセスが発生した際にすぐに気づくことができる仕組みを作っておく事が重要だと思います。