第三者がIDやパスワードを取得し、不正にアカウントへログインすることを「不正ログイン」といいます。不正ログインによる被害に遭わないためには、不正ログインが起きる原因を知り、情報セキュリティ対策を実施することが大切です。本記事では、不正ログインの原因やリスク、二要素認証をはじめとした、企業がとるべき不正ログイン対策について解説します。

不正ログインとは？第三者がIDやパスワードを不正に取得すること

不正ログインとは、悪意のある第三者がIDやパスワードなどの認証情報を不正に取得し、サービスアカウントにログインすることを指します。とくに多いのが、インターネットバンキングのIDやパスワードが漏えいし、第三者による不正送金が行われる事例です。警視庁の調べによると、2020年（令和2年）のインターネットバンキングの不正送金被害の発生件数は1,734件で、被害総額は約11億3,300万円にものぼっています。[注1]

身近に潜む不正ログイン被害のほかにも、企業側は不正ログインを未然に防ぐため、情報セキュリティ対策を実施することが求められます。たとえば、第三者の不正ログインによる個人情報の漏えいや、権限ユーザーへのなりすましによる機密情報の詐取など、さまざまな不正ログイン被害が発生しています。顧客や消費者の信頼を損なわず、企業の社会的責任を果たすうえでも不正ログイン対策が欠かせません。

[注1] 警察庁：令和2年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_cyber_jousei.pdf

不正ログインが発生する主な2つの原因

情報セキュリティ対策を実施するうえで、まずは不正ログインの手口を知っておくことが大切です。不正ログインが起きる主な2つの原因を説明します。

1. フィッシングの被害に遭う

フィッシングとは、大手企業や金融機関を装ったメールを送りつけ、偽のホームページに誘導する手口です。偽のホームページでIDやパスワードなどを入力させ、認証情報を抜き取ることを目的としています。

従業員がフィッシングの被害に遭い、普段使っているIDやパスワードが流出すると、どのようなことが起きるのでしょうか。攻撃者は集めたIDやパスワードの組み合わせをリスト化します。もし、従業員がIDやパスワードを自社が利用するクラウドサービスにも使いまわしていた場合、攻撃者がリストを活用し、企業への攻撃に悪用する可能性があります。これを「リスト型攻撃」といい、不正ログインのうち大きな割合を占める手口です。

2. パスワード解析でパスワードが漏えいする

フィッシング被害に遭わなくても、攻撃者が直接IDやパスワードを解析しようとするケースがあります。とくに多い手口が、「password」「user」「1234」といったよくある文字列をリスト化し、片っ端から試していく「辞書攻撃」です。社員が簡易なキーワードをIDやパスワードに設定している場合、この辞書攻撃の被害に遭い、業務システムやクラウドサービスに不正ログインされるリスクがあります。

不正ログインによる企業の被害事例2つ

不正ログインによって、実際にどのような被害が生じているのでしょうか。近年の情報セキュリティ事故のうち、2つの不正ログイン被害の事例を紹介します。

1. 銀行口座をはじめとした8,635件の個人情報が流出した三菱電機の事例

2020年11月20日、三菱電機が大規模なサイバー攻撃を受け、顧客の銀行口座をはじめとした8,635件の個人情報が流出する情報セキュリティ事故が発生しました。原因となったのは、グループ全体で運用していたクラウドサービスへの不正ログインです。三菱電機は2020年1月にも同様のサイバー攻撃を受け、防衛省関連の情報を含む8,122人分の個人情報が漏えいする情報セキュリティ事故が発生しています。

2. 481万件の顧客情報が流出した大阪ガス子会社の事例

2019年には、大阪ガス子会社が運用するファイル転送サービス「宅ふぁいる便」への不正ログインをきっかけとして、481万件の顧客情報が流出する情報セキュリティ事故が発生しています。企業は不正ログインへの対応を行ったものの、サービス再開の目処が立たず、そのままサービス終了を発表しています。不正ログイン被害を受けると、個人情報漏えいだけでなく、事業活動の継続に支障をきたすリスクも存在します。

不正ログインを防ぐ企業の3つの対策

不正ログインを防ぐためには、適切な情報セキュリティ対策が必要です。とくにIDとパスワードの管理に着目し、次の3つの不正ログイン対策をとりましょう。

1. 「パスワードの使い回し」をやめる

不正ログインを防ぐには、まず「パスワードの使い回し」をやめることが大切です。とくに、流出したIDやパスワードをリスト化する「リスト型攻撃」を防ぐうえで効果的です。フィッシングの手口に代表されるように、自社で利用している業務システムのセキュリティは万全でも、クラウドサービスのIDやパスワードが思わぬところから流出するリスクがあります。パスワードの使い回しをやめさせることで、万が一従業員がフィッシングの手口に引っかかっても、被害を最小限に食い止められます。

2. シングルサインオンを導入する

クラウドサービスの導入数が多い企業では、サービスごとにIDやパスワードを使い分けると手間がかかります。そこで役に立つのが、シングルサインオン（SSO）です。SSOとは、1組のID、パスワードで、複数のウェブサービスにログインできるようにする仕組みです。IDとパスワードが1組に集約されますが、Webポータル側で不正ログインを監視するため、セキュリティリスクも軽減できます。IDやパスワードを一元管理しつつ、不正ログイン対策にもなるのが、SSOを導入するメリットです。

3. 二要素認証を導入する

「パスワードの使い回し」をやめても、企業が利用しているクラウドサービスが直接攻撃を受け、IDやパスワードが流出すれば不正ログインの被害に遭ってしまいます。そこで、IDやパスワードに加えて、別の認証要素を追加する「二要素認証」の導入がおすすめです。IDやパスワード、秘密の質問、PINコードなど本人の記憶に基づく認証方式のことを「知識認証」といいます。この「知識認証」に、ユーザーが所有するスマホに電話をかけたり、SMSを送信したりすることで本人しか持っていない物を認証に利用する「所有物認証」や、ユーザーの指紋や顔といった身体的特徴を認証に利用する「生体認証」を追加することでセキュリティレベルを高めるのが二要素認証です。二要素認証を導入することで、クラウドサービスのIDやパスワードが流出しても、もう1つの認証要素で不正ログインを防ぐことができます。

【まとめ】

不正ログインの手口を知りIDやパスワードの管理を強化しよう

不正ログインとは、悪意のある第三者が正規のアカウントになりすまし、不正にサービスやアプリケーションを利用する行為を指します。企業が不正ログインの被害を受けると、個人情報や機密情報が流出し、社会的信用の低下につながるリスクがあります。まずは社員に「パスワードの使い回し」をさせないことが大切です。そのうえで、シングルサインオン（SSO）や二要素認証を導入し、IDやパスワードの管理を強化しましょう。

▶︎ 「i-dentify（SMS認証）」でセキュリテイ強化
▶︎ 「i-dentify（着信電話認証）」でセキュリテイ強化