二要素認証も楽々突破…巧妙化する「不正ログイン」に企業は何をすべきか?
記事をお気に入りリストに登録することができます。
金融・決済サービスを狙った攻撃は止むことがなく、個人情報漏洩やなりすましログイン、不正送金・不正サービス利用などの被害が後を絶たない。特に金融・決済サービスは、他社サービスと密接に連携している性格上、自社で対策を行っていても、利用者に対するフィッシングや他社をターゲットにした不正アクセスなどによる情報流出が自社に影響を与える可能性があるため、それを前提とした対策が必要となってきている。対策が推進されている二要素認証もすでに突破されるケースが多発しており、企業はさらなる策を講じる必要がある。不正なアクセスを検知し、犯罪を未然に防ぐためにはどのような対策が有効なのだろうか。
(Photo/Getty Images)
ワンタイムパスワードも安心できない?「被害者の5割以上が利用」の実態
なりすましによる不正アクセスの対策として、ログイン時に二要素認証によるワンタイムパスワード(OTP)や生体認証を設けたりeKYC(オンライン本人確認システム)を導入しているサービスは多い。しかし、昨今のサイバー犯罪は、これだけでは十分に防げない。それを裏付けるのが、2019年、有効であったはずの二要素認証を突破する被害が多発したという事実だ。警察庁の調べでも、不正送金被害者の半分以上が二要素認証を利用していたという。この手口は偽のログイン画面を用意し、そこからフィッシングサイトに誘導する。そしてパスワードに加えて、OTPも一緒に入力させるように促し、そのOTPを盗んで犯人が正規のサイトから直接犯行に及ぶというものだ。結局のところ、OTPさえ分かってしまえば、認証は容易に突破できてしまうのだ。
一方、生体認証やeKYCによるオンラインでの本人確認は、セキュリティ強度の面から言えば、当然導入したほうが良い。だが、モバイルアプリにおける生体認証は機種やOSの制限があったり、ユーザー側で意図的に機能をオンにする必要があったりと、企業がコントロールできない部分が残る。また、eKYCによる口座開設申し込みの本人確認手続きは、「郵送」というプロセスが運用上で残っており、一般的に普及している状況にはなっていないのが実情だ。
犯罪者は対策が不十分で、なりすましがしやすいサイトを狙う。不正ログインを防ぎ、顧客や利用者を守るために企業はどのような対策を施していけば良いのだろうか。
この記事の続き >>
・着目すべきは利用者の「振る舞い」、“犯罪者特有”の振る舞いとは?
・たったこれだけ?「なりすまし」をいち早く検知する方法
・定期的に預金を確認、不正に引き出そうとしていた「計画的犯行」を未然に防止
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
