POINT1:個人情報の窃取やオンラインショッピングでの不正注文が狙いだ!
Webサービスから盗み取ったIDとパスワードを悪用し、ほかのサイトに不正ログインして、なりすましを行ったり、不正な注文をしたりする攻撃です。
サービス提供者の被害例
- サービス提供しているサイトから情報を盗み取り、不正な注文やポイントの不正使用を実行
- 利用者の個人情報の閲覧、窃取
- 登録している利用者にサイトを装ったメールを不正送信
サービス利用者の被害例
なりすましによるインターネットバンキングでの不正送金やオンラインショッピングでの不正注文
POINT2:手口はパスワードの推測とリスト攻撃だ!
パスワードの推測
名前や誕生日、IDと同一の文字列、連続した英数字など使われやすい文字列を攻撃者が入力し不正ログインされます。
パスワードリスト攻撃
別のWebサービスから窃取したIDやパスワードを使って不正ログインされます。
<不正ログインを防ぐ対策はこれだ!>
- サービス提供者
・簡単なパスワード、容易に推測できるパスワードを許可しない
・多要素認証を導入する
- サービス利用者
・パスワードを複数のWebサービスで使い回さない
・パスワード管理ソフトを利用する
・パスワードのほか複数の認証方法を採用しているサイトを利用する
・利用をやめたWebサービスは退会する
⇒ MISSION 1-9 巧妙・悪質化するワンクリック詐欺
