WEBサービスの顧客エンゲージメント向上を支援します

インターネットポイントサービスの代表的な不正手段「なりすまし」とは?

  • このエントリーをはてなブックマークに追加

2013年7月26日

ポイントサービスを狙う不正の手口


  6818192944_441ff61397

photo by elhombredenegro 


 
 
インターネットのポイントサービスにはさまざまな不正が存在します。
不正は、大事な顧客だけでなく、企業にとっても金銭的被害をもたらす恐ろしい存在です。
 
不正の例としては、悪意のあるユーザーがアフィリエイトで虚偽の購入申し込みを行い、
実際には購入をせず、特典のポイントだけをもらおうとする不正などがあります。
 
他には、ポイントシステムのバグをついて、大量のポイントを獲得しようとする不正も存在します。
特に、こうしたシステムのバグにより不正が起こる場合は、
被害額が数千万円以上にのぼってしまう可能性もあります。

不正手段の代表「なりすまし」

不正にはその他にもさまざまなものがありますが、
今回は最も代表的な不正手段である「なりすまし」をご紹介します。
 
「なりすまし」とは、
「何らかの手段で入手した他人のIDやパスワードを利用してアカウントを乗っ取る行為」、
のことです。
 

ネット社会において、正規ユーザーと偽ってシステムにアクセスし活動すること。
 
  出典:wikipedia 「なりすまし

      
悪意のあるユーザーが他人のIDやパスワードを入手した場合、
その情報を元に攻撃対象となるサイトにログインができるかどうかを試みます。
 
そして、もしもログインが成功すれば、悪意のあるユーザーは
そのユーザーの登録情報の改ざんはもちろん、
サイトで保有しているポイントを持ち逃げしてしまう可能性もあります。
 
このような不正では、貯まったポイントは
インターネット上で使えるギフト券などに交換される傾向があります。
 
インターネット上で使えるギフト券は個人情報に紐付かず、足がつきにくいため、
こうした不正が起こってしまうと、警察に協力を仰いでも犯人が捕まる可能性は低いです。

自社のセキュリティが十分でも、被害が出てしまうかも?

7648247740_c8c5e2fd3f

photo by Praveen Kumar

 
また、大規模なウェブサービスでIDやパスワードが流出してしまうと、
そのID情報を元に、ほかのさまざまなサービスでなりすましが発生する可能性があります。
 
以下のYOMIURI ONLINEの記事では、
Yahoo!のパスワード流出が他サイトに影響を及ぼす危険性をしめしています。

 

今回の流出によって危険なのは、Yahoo! JAPANではない。Yahoo!はパスワードと秘密の質問と答をリセットしたので、犯人によって新たに不正ログインされる可能性はほとんどないだろう。
 
問題は、他のサイト・サービスでのIDパスワードだ。前出の北河氏は「ユーザーが共通したパスワードを使っていた場合に、Yahoo!で流出したハッシュ値からパスワードを解読されてログインされたり、秘密の質問と答を使って、不正ログインされてしまう可能性がある」と注意をうながしている。
 
出典:YOMIURI ONLINE 「Yahoo!のパスワード流出、実は「他サイトが危険」?

 
つまり、企業が自社の顧客のIDやパスワードをしっかり守っていても、
他のサイトで情報が流出すれば、自社サービスで不正被害が発生してしまう可能性があるのです。

なりすましを防ぐには?

なりすましを防ぐ最も有効な手段は、ユーザーが
各サイトごとに適切な長さのパスワードを使い分けることです。
 
しかし、実際にそれを行なっているユーザーはごく僅かです。
事実、ある調査によると
「ネットサービスのパスワードの7割が使いまわし」というデータもあります。
 

■「使い回し」が7割 理由は「管理が大変」「他人に推測されづらいから」
 
「基本的に使い回し」と回答した人にその理由を聞くと(複数選択)、「いちいちパスワードを管理するのが大変だから」が56%でもっとも多く、次いで「他人に推測されずらいパスワードだから」25%、「パスワードが知られても影響が軽微なサービスが多いから」12%でした。
 
Ask smartly 「ネットサービスのパスワード 7割が「使いまわし」


 
また「なりすまし」は、
「入手したデータをもとに、ログインを行なっているだけ」なので、
システム的に不正かどうかを判定することはとても困難です。
 
以下、今日のまとめです。
 
・不正手段のひとつに、他人のID・パスワードが盗まれる「なりすまし」がある。
・自社でセキュリティ対策しても、他サイトで情報流出すると「なりすまし」のリスクが高まる。
・顧客はパスワードを使いまわすことが多いので、「なりすまし」は防ぎづらい。
 
こうした状況の中、企業はどうやって不正対策すべきでしょう?
 
そこで次回は、
弊社で行なっているなりすまし対策についてご紹介したいと思います。

.