あなたの個人情報はいくら?――RSA、「2018年サイバー犯罪者のショッピングリスト」とアカウント保護の5ステップを公開:出会い系サイトや金融業のサイトのアカウントに高値
EMCジャパンのRSA事業本部は、サイバー犯罪者が他人のアカウント情報を売買する市場を調査した「2018年サイバー犯罪者のショッピングリスト」を公開。Eコマースサイトに対して、自社に登録している顧客のアカウントを保護するよう呼び掛けた。
EMCジャパンのRSA事業本部は2017年12月15日、サイバー犯罪者が個人情報を売買する際の相場を表した「2018年サイバー犯罪者のショッピングリスト」を公開し、Eコマースサイトが顧客アカウント情報を保護するための5つのステップを示した。
企業や組織を舞台にした個人情報の漏えい事件は、後を絶たない。RSAは、「サイバー犯罪者は、1件のサイトから得た個人のアカウント情報を複数のEコマースサイトや送金サイト、ゲームサイトなどで不正利用し、利益を得ようとしている」と指摘する。これは、同じIDとパスワードの組み合わせを複数のサイトで使っているユーザーが多いためだ。
RSAによれば、このようなEコマースサイトの顧客アカウントは、闇市場で最高15ドル程度で売買されているという。
「情報の流出元であるWebサイトやサービスの種類、決済用クレジットカード情報の有無などによって価格は異なるが、中でも出会い系サイトや金融業のサイトのアカウントに高い値が付いている」(RSA)
「2018年サイバー犯罪者のショッピングリスト」(提供:EMCジャパンRSA事業本部)
RSAは、ユーザーのアカウント情報保護を目指すEコマースサイトに向けて、次の5つの手順を公開している。
- 盗難データの市場を理解する:オンラインの盗難データ市場は、「競争が激しく、価格は市場原理で変動する」という点で、基本的にリアルな市場と変わらない。価格は、認証情報の種類ごとに決まる。盗難データの多くは、ほとんどのソーシャルメディアを通して堂々と売られており、サイバー犯罪者は、必要に応じてある情報に別の情報を追加するなど、自身の「商品」を多様化させる。
- 「個人を特定する要素は無限にある」点を知る:無数の情報漏えい事件からも明らかだが、「IDとパスワードの組み合わせ」といった静的情報は、本人を証明する情報としては脆弱(ぜいじゃく)だ。RSAは、代替的な認証手段として、SMS(携帯電話のショートメッセージサービス)や生態認証の活用や、Webサイトにおける顧客行動分析の検討を推奨している。
- 認証テストに備える:サイバー犯罪者は、個人のIDやパスワードなど、盗み出した認証情報の有効性を判定する際、スクリプトで自動的に検証するツール(認証情報スタッフィングツール)を使う。こうした「認証テスト」は、アカウント乗っ取り攻撃の前兆になる。認証テストが行われているか特定するには、「機械的で不自然に高速な振る舞い」「複数回にわたるログインの失敗」「通常のトラフィックから懸け離れた場所からのログインの試み」などを監視する必要がある。
- なりすましやアカウント乗っ取りを監視する:サイバー犯罪者は、盗んだアカウント情報を悪用し、新たなアカウントを作成することがある。RSAがアカウントの乗っ取りと新規アカウント開設に関連した詐欺パターンを調査した結果、「新規アカウント作成後最初の10日間に詐欺発生率が15倍に高まる」ことが分かった。怪しいふるまいを見分けるには、「新たなデバイスからのログイン」「パスワードなどアカウント情報の変更」「銀行や決済サービスプロバイダー、新たな支払先の追加(この時、不正な支払いの70%が行われるという)」を監視する必要がある。
- 顧客を啓蒙する:RSAでは、Eコマースサイトの運営元に対して、顧客にとっての「信頼できるオンラインセキュリティのアドバイザー」になることを推奨している。具体的には、「Webサイトのトップページや電子メールで、顧客に安全性に関する情報を提供する」「顧客が、怪しい電子メールや製品、サービスを簡単な手順で報告できるような仕組みを構築する」などの対策を検討することで、オンラインの安全性確保に対する姿勢を顧客に示し、ブランド価値を高められるとしている。
Copyright © ITmedia, Inc. All Rights Reserved.