はじめに
オンラインサービスに登録したメールアドレスや個人情報が盗まれる事件が後を絶ちません。攻撃者は盗んだ情報を闇市場で売却したり、フィッシングやクレジットカードの不正利用に悪用します。また、過去の流出リストを使って別のサービスに不正ログインする「リスト型攻撃」も急増しており、被害は一般ユーザーから企業の機密情報にまで広がっています。本記事では、オンラインサービスからの個人情報窃取と不正ログイン攻撃について、手口・事例・対策を整理します。
個人情報窃取の手口と事例
Webサイトへの不正侵入
インターネットサービスの個人情報窃取は、Webアプリケーションの脆弱性を突いた攻撃によって発生します。SQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性を悪用し、サーバ内のデータベースから利用者情報を盗み出す手口が代表的です。2023年には住宅メーカーのウェブサイトがSQLインジェクション攻撃を受け、10万件を超えるメールアドレスが流出しました。また、漁業協同組合のサイトではXSSを悪用したコードが埋め込まれ、利用者が入力したクレジットカード情報が攻撃者に送信される被害が発生しています。これらの例からわかるように、Webアプリの脆弱性は個人情報流出の主要な入口となっています。
不正アクセスとデータ販売
Webサイトに保存された個人情報は、侵入者によってダウンロードされ、ダークウェブで売買されます。流出したメールアドレスやパスワードはフィッシングメールの対象リストとして利用されるほか、クレジットカードの不正利用やなりすましログインにも悪用されます。攻撃者は取得した情報の価値を高めるため、他の漏えいデータと突き合わせて氏名や住所などを特定する場合もあります。利用者側としては、サービス登録時に必要最低限の情報のみを入力し、不要になったアカウントは削除することが重要です。
闇市場と攻撃者の動機
個人情報が流出すると、攻撃者はダークウェブや地下フォーラムでそれらの情報を売買します。単純なメールアドレスやパスワードのセットは数ドル程度で取引されますが、クレジットカード情報や生年月日、住所、本人確認書類などが含まれる「フルズ」(Fullz)は一件数十ドル以上で取引されます。攻撃者はこうして得た情報を利用して、さらなるフィッシング攻撃や投資詐欺、ローン申し込みといった財務詐欺を仕掛けるケースが多く、なりすましによる社会的信用の失墜につながることもあります。
攻撃者の動機は金銭的な利益が大半ですが、中には他国の機密情報を狙った国家支援型の活動や、リスト取得を目的とした犯罪者グループのランキング向上など、複数の要因が絡み合う場合もあります。闇市場で情報を販売することで資金を獲得し、他の攻撃の資金源に充てるため、個人情報流出がサイバー犯罪全体の活性化を招いている点が問題です。
追加の事故事例
国内外では、多数のサービスが個人情報の流出被害を経験しています。例えば、SNS大手のユーザーネームと電話番号が流出し、スパムSMSや迷惑電話の標的になったケースや、ゲームプラットフォームが脆弱性を突かれてユーザーの認証トークンが盗まれた事件が報じられました。大学の入試管理システムへの不正アクセスにより受験者情報が流出し、その情報が受験生を狙った詐欺に悪用された例もあります。これらの事例は、教育機関や娯楽サービスであっても攻撃対象となり得ることを示しています。
防御策
サービス提供者は、Webアプリケーションの脆弱性診断や定期的なソフトウェア更新を行い、脆弱性を悪用されないよう対策を講じる必要があります。利用者側も「同じメールアドレスやID・パスワードを複数サービスで使い回さない」「パスワードを長く複雑に設定する」「不要な個人情報を登録しない」などの基本的な対策が欠かせません。さらに、多要素認証(MFA)を有効にすることで、攻撃者が認証情報を入手してもログインできないようにすることが推奨されます。
不正ログイン攻撃の手口と事例
リスト型攻撃とパスワードリユース
不正ログイン攻撃の多くは、過去に流出したアカウント情報を使って別サービスにログインを試みる「リスト型攻撃」によって行われます。攻撃者は大規模な漏えい事件で手に入れたIDとパスワードのリストを使い、自動化ツールで他のサイトに一斉ログインを試みます。ユーザーが同じパスワードを使い回している場合、複数のアカウントが一度に乗っ取られてしまいます。
フィッシングやマルウェアによる盗み取り
リスト型攻撃以外にも、攻撃者はフィッシングメールやマルウェアでログイン情報を直接盗み出します。偽のログインページに誘導してIDとパスワードを入力させる手口や、マルウェアにキーロガー機能を仕込んで入力情報を盗み出す手口が代表的です。2024年には医療系大学の職員アカウントが標的型フィッシング攻撃を受け、盗まれた認証情報を使って学内から5,600通のフィッシングメールが送信される事件が起きました。また、カーシェアリングサービスに登録した利用者のIDが外部サイトから流出し、不正ログインによる乗り逃げが多数発生した事例も報じられています。
パスワードクラックと二要素認証の突破
攻撃者は、簡単なパスワードや辞書に載っている単語、誕生日や電話番号といった推測しやすい情報を狙ってパスワードクラックを行います。また、SMS認証コードを受信するスマートフォン自体がマルウェアに感染していた場合、二要素認証の突破も不可能ではありません。特に企業アカウントではメールとVPNアカウントを組み合わせた侵入が狙われ、攻撃者は盗んだ認証情報を用いて内部ネットワークに入り込んだ後、不正送金や機密情報窃取を行うことがあります。
攻撃ツールとインフラ
リスト型攻撃やパスワードクラックを支えるツールやサービスも進化しています。攻撃者はオープンソースのリスト攻撃ツールやカスタムスクリプトを利用し、数百万件のログイン試行を短時間で実行します。また、侵害済みアカウントや匿名化サービスを通じてボットネットを構築し、攻撃を検知されにくいように分散させています。近年では、クラウドサービスを悪用した「無人攻撃プラットフォーム」が登場し、攻撃の敷居がさらに下がっています。攻撃インフラがサービス化することで、技術力のない犯罪者でも簡単に不正ログインを実行できるようになっている点が懸念されます。
先進的な防御策
不正ログイン対策としては、多要素認証に加え、FIDO2準拠のハードウェアトークンや生体認証(指紋・顔認証など)の導入が有効です。これらの認証はフィッシング耐性が高く、攻撃者が認証情報を盗んでも使用できません。また、サービス提供者はログイン試行の失敗回数に応じてアカウントを一時ロックしたり、利用者のIPアドレスや端末情報をもとにリスクベース認証を行うことで、不審なログインを自動的にブロックできます。
利用者側でもパスワード管理ツールを活用して長く複雑なパスワードを生成・保存し、定期的に漏えいチェックを行うことが推奨されます。複数のメールアドレスやログインIDを使い分けることで、特定サービスでの漏えいが他サービスに波及するリスクを減らすことができます。ログイン通知やデバイス登録機能を有効にし、不審なログイン試行があった場合には迅速にパスワード変更とサービスへの報告を行いましょう。
防御策
不正ログインを防ぐためには、利用者側のパスワード管理とサービス提供者の対策が両輪となります。利用者は、長く複雑なパスワードを各サービスごとに設定し、パスワードマネージャを活用して使い回しを避けるべきです。また、ログインページは必ず正規URLをブックマークし、メールやSNSで送られてきたリンクからアクセスしないようにすることが大切です。サービス提供者は、多要素認証の導入や、リスクのあるログイン試行を検知する仕組みを備える必要があります。IPAは、不審なメールを受け取った際は正規サイトにログインして通知を確認し、すぐにIDやパスワードを入力しないよう呼び掛けています。
さらに、法令やガイドラインの遵守も重要です。個人情報保護法や資金決済法では、重大な漏えいや不正送金が発生した場合の報告義務や利用者への通知義務が定められており、企業は適切な記録管理とインシデント対応手順を整備しておく必要があります。金融機関やクレジットカード会社は、PCI DSS(Payment Card Industry Data Security Standard)などの国際基準に準拠したログ監視やアクセス制御を行うことが求められています。
おわりに
オンラインサービスの個人情報窃取と不正ログインは、私たちの日常生活に深刻な影響を及ぼします。攻撃者は脆弱なWebサイトを狙ったり、流出した認証情報を悪用して次々とサービスに侵入します。被害を避けるためには、サービス提供者による脆弱性対策と利用者による適切なパスワード運用が不可欠です。特にパスワードの使い回しをやめ、多要素認証を積極的に活用することは最も効果的な対策の一つです。最新の脅威情報に注意を払い、安全なオンライン生活を心がけましょう。
個人情報流出や不正ログインは、他のサイバー犯罪の起点となることが多い点にも留意が必要です。盗まれたIDやメールアカウントは、BECや標的型攻撃、ランサムウェア攻撃の足掛かりとして再利用されます。したがって、この分野での防御を強化することは、サイバーセキュリティ全体の強化につながります。情報システム部門とユーザが協力し、パスワード管理、二要素認証、脆弱性対策、ログ監視、法令遵守を総合的に実施することで、サイバー犯罪者に付け入る隙を与えない環境を整えましょう。
