タグ: 情報セキュリティ

IPA（情報処理推進機構）は8/25、2019年度中に発生した不正アクセス事案などから、特に一般個人ユーザーにとって脅威度が高いとみられる案件をまとめた、「情報セキュリティ10大脅威2020」の個人向け情報を公開しました。その中にまったく知らないワードが・・・。

個人向け10大脅威

1　スマホ決済の不正利用
2　フィッシング による個人情報の詐取
3　クレジットカード情報の不正利用
4　インターネットバンキングの不正利用
5　メールやSMS等を使った脅迫・詐欺の手口による金銭要求
6　不正アプリによるスマートフォン利用者への被害
7　ネット上の誹謗・中傷・デマ
8　インターネット上のサービスへの不正ログイン
9　偽警告によるインターネット詐欺
10　インターネット上のサービスからの個人情報窃取

ランキングは上記のとおりです。一通り目を通したんですが、ネットショッピングする場面の説明で推奨されているサービスの用語、「3Dセキュア」。kuniはまったく知らない用語でした。

インターネット上のショッピングサイトなどでクレジットカードを利用してオンライン決済を行う場合、クレジットカード情報をショッピングサイトで入力することで決済します。クレジットカードを紛失して悪意のある人に拾得された場合やフィッシングサイトでクレジットカード情報を詐取された場合など、不正利用されるおそれがあるわけです。

これを避けるため、あらかじめクレジットカード会社にパスワードなどを登録しておき、そのパスワードで本人認証した上で決済を完了するという方式が3Dセキュアというんだそうです。確かにこれは安心。しかし、ショッピングするサイトも3Dセキュアに対応している加盟店でないとダメですが。

MyJCB

kuniはJCBユーザーなので、早速MｙJCB（JCBのインターネットサービス）で確認してみました。ほぉ、本人が知らないうちにちゃんと3Dセキュアは設定されていました。インターネットサービスで自分のデータを登録すれば、自動的に設定されるようです。ちなみにJCBの場合はJ/Secureというサービス名になっていました。これってみんな知ってること？

ヤマト運輸の個人向け会員制サービス「クロネコメンバーズ」のサイトに不正アクセスがあり、3467件の個人情報が漏洩した可能性があることが公表されました。同社は、不正ログインを確認したIDはパスワードを変更しなければ利用できないよう対策をとったとのこと。

リスト型アカウントハッキング攻撃（リスト型攻撃）

以前当ブログでも、リスト型アカウントハッキング攻撃（リスト型攻撃）については取り上げました。ユニクロやコジマが被害を受けていたころのことです。今回のヤマト運輸の件も同様の手口のようです。何らかの手段により他者のＩＤ・パスワードを入手した第三者が、これらのＩＤ・パスワードをリストのように用いてサイトにログインを試みるという手口ですね。

ヤマト運輸によると、22日夜から24日朝にかけて約3万件の不正アクセスがありました。このうち3467件が不正にログインされ、名前や住所、メールアドレスやクレジットカード番号の下4桁などが閲覧された可能性があるとのこと。25日時点で個人情報の悪用など被害は確認されていないようです。

同サイトでは2014年9月25日にもリスト型攻撃を受けており、1万589件の不正ログインがありました。その時のログイン試行回数は19万件だったと報道されていました。一度こういう被害が出ていて、パスワードの使い回しに対する注意喚起が行われているのに、、、。それでも使い回しはなくならないんですね。ちなみに2014年9月は佐川急便も同じ被害にあってたようです。

ヤマト運輸の対応

公表されている情報が事実であれば、3万件のアクセスを受けた時点ですぐに不正を検知しています。また、速やかに、不正ログインを確認したIDについてパスワードを変更しなければ利用できないよう対策もとっています。翌日には事実の公表も行われていて、おおむね良好な対応がされているという評価でしょうか。

このところ不正・不祥事が相次いだヤマトだけに、またやらかしたか、、、と思いましたが、今回はヤマトを責めるわけにもいかないようです。ただし、会員登録する際の画面においてどんな注意喚起が行われているか、とか、アマゾンやヤフーのIDと連携できるようになっている仕組みに問題はなかったのか、といった点についてはkuniもチェックできていません。

2回も同じ手口で被害にあってしまうわけですから、どこかに問題があるんじゃないかという気がしますが、、、。あともう一つ気になるのが、このサイトで犯人は何を目的にアクセスしたかです。住所変更して宅急便をだまし取るんでしょうか。よく分かりません。