ECサイトを狙った攻撃の増加
近年、ECサイトを狙ったパスワードリスト攻撃と呼ばれるサイバー攻撃により、個人情報やクレジットカード情報の漏洩、不正購入やポイントの不正利用といった被害が増加しています(表1)。パスワードリスト攻撃とは、あるサービスから流出したIDとパスワードの組み合わせのリストを使って不正にログインする手法です。被害を防ぐには、同じIDとパスワードを使い回さないことが重要ですが、実際にはパスワードを使い回しているユーザが8割以上(※1)とも言われ、パスワード認証だけでセキュリティを確保することは難しくなってきています。
表1:パスワードリスト攻撃による被害事例(直近2年間)
ECサイトのセキュリティを強化するためには
セキュリティを強化する手段の一つに多要素認証(MFA:Multi-Factor Authentication)があります。認証に用いる情報は「記憶」、「所持」、「特徴」の3要素があり、このうち2つ以上を組み合わせて認証するのが多要素認証(2つの場合は2要素認証)です(図1)。
図1:認証の3要素と例
例えば、強固なセキュリティが求められるインターネットバンキングでは、パスワード(記憶)+ワンタイムパスワード(所持)などの2要素認証がよく用いられています。このように複数の要素を組み合わせることで安全性を高めることができます。一方で、手元にスマートフォンのアプリやハードウェアトークンを用意しなければならず、面倒に感じるユーザも多いでしょう。
ECサイトは利便性の低下が深刻なユーザ離れを起こしかねないことから、2要素認証の導入はハードルが高いと言えます。そこで、利便性を保ちつつECサイトのセキュリティを強化するためのアプローチ例をいくつか紹介します。
条件付きで2要素認証を導入する
- リスクベース認証(※2)
不正アクセスが疑われる場合(普段と異なる環境からのログイン試行等)のみ2要素認証を求める方法です。リスクが高いときのみ追加認証を行うため、ユーザの利便性を損ねずにセキュリティを強化することができます。 - ステップアップ認証
決済、チャージ、登録情報の照会・変更等、重要な操作時に限って2要素認証を求める方法です。商品を見るだけなど、通常の操作であれば2要素認証の手間はかかりません。
図2:2要素認証の導入パターン
ログ分析による不正検知を強化する
認証強化とは別のアプローチとして、ログ分析による不正検知の強化も有効です。ログ分析による不正検知はユーザの利便性への影響が小さく、早期に不正を発見することで被害を最小限に抑えることができます。したがって、上記の条件付きの2要素認証と併せて導入することで、さらなるセキュリティ強化が期待できます。
利便性とセキュリティの両立に向けて
一般の消費者が利用するECサイト等のサービスを狙ったサイバー攻撃のニュースが後を絶たない中、セキュリティに対する世間の関心は日々高まっています。事業者としては、ユーザの利便性を優先したがゆえにセキュリティが疎かになっていたという言い訳は通用しなくなりました。安全かつ便利なECサイトを提供するために、今回ご紹介したアプローチを検討してみてはいかがでしょうか。
https://www.trendmicro.com/ja_jp/about/press-release/2017/pr-20171005-01.html
ユーザがログインする際の環境、IPアドレス、行動パターンなどに基づきユーザを分析し、リスクが高いと判断された場合に追加認証を行う。
当社が提供する「CAFIS Brain®」はリスクベース認証ソリューションの一つ。
https://www.nttdata.com/jp/ja/lineup/cafis_brain/