「キャッシュレス」「5G」「AI」のセキュリティリスクとは? 対策を整理2019年の事件から考えるセキュリティ対策【後編】

「キャッシュレス決済」「5G」「AI技術」といったさまざまな技術が国内で普及する裏側で、それらを狙ったり悪用したりするサイバー攻撃が登場している。どのような脅威があるのか。どう立ち向かえばよいのか。

2020年04月02日 05時00分 公開
[大久保 心織TechTargetジャパン]

 ITの変化に合わせてサイバー攻撃は巧妙化し、さまざまな手法が登場している。クラウドの設定ミスに起因する情報漏えいの原因と対策を紹介した前編「『クラウドの設定ミスで情報漏えい』はなぜ起こるのか? 取るべき対策は」に引き続き、2019年の主なセキュリティ事件と、それを受けて2020年以降に気を付けるべきリスクを紹介する。

「7pay」の悲劇を繰り返さないために

 政府が現金をやりとりすることなく決済する「キャッシュレス決済」を推進する中、オンラインのEコマース(EC)サイトだけでなく、実店舗でもキャッシュレス決済を利用できる環境の整備が求められている。キャッシュレス決済を導入する事業者は、そのためのITインフラやアプリケーションを導入した上で、セキュアな状態を保って運用しなければならない。攻撃者は普及が進むキャッシュレス決済の隙を狙うことで、攻撃の機会を増やそうとたくらんでいるからだ。

 脆弱(ぜいじゃく)なキャッシュレス決済のシステムが狙われた事例がある。その代表例が、2019年に発生した決済サービス「7pay」での不正ログイン事件だ。この事件では、第三者にクレジットカードを不正利用される被害者が続出した。マカフィーはアンケート調査の結果を基に「2019年の10大セキュリティ事件ランキング」を作成し、第1位に7payの事件を挙げた。その中で「企業は利便性と安全性の片方だけを優先させることなく、両方を確保したセキュアなサービス提供に努めるべきだ」と注意を呼び掛けている。

ID・パスワード以外の認証要素で機密情報を保護

 ID・パスワードといった知識要素に加え、指紋などの生体要素やICカードなどの小勇要素を用いた複数の認証要素を用いた多要素認証により、認証時のセキュリティを強化できる。実際、7payの事件では、運営元のセブン&アイ・ホールディングスが事後対策として「二段階認証の導入」(注)を発表した。

※注:二段階で認証を実施する認証方式。各段階の認証要素の違いは問わない。

 決済用アプリケーションの保護も怠ってはならない。「WAF」(Webアプリケーションファイアウォール)を使うことで、ID登録や支払いなどの機密情報を取り扱う通信を攻撃者が傍受することを防ぎ、アプリケーションを安全に保つことができる。

5Gの本格導入が招く危険

ITmedia マーケティング新着記事

news079.jpg

狙うは「銀髪経済」 中国でアクティブシニア事業を展開する企業とマイクロアドが合弁会社を設立
マイクロアドは中国の上海東犁と合弁会社を設立。中国ビジネスの拡大を狙う日本企業のプ...

news068.jpg

社会人1年目と2年目の意識調査2024 「出世したいと思わない」社会人1年生は44%、2年生は53%
ソニー生命保険が毎年実施している「社会人1年目と2年目の意識調査」の2024年版の結果です。

news202.jpg

KARTEに欲しい機能をAIの支援の下で開発 プレイドが「KARTE Craft」の一般提供を開始
サーバレスでKARTEに欲しい機能を、AIの支援の下で開発できる。