「キャッシュレス」「5G」「AI」のセキュリティリスクとは？ 対策を整理：2019年の事件から考えるセキュリティ対策【後編】

「キャッシュレス決済」「5G」「AI技術」といったさまざまな技術が国内で普及する裏側で、それらを狙ったり悪用したりするサイバー攻撃が登場している。どのような脅威があるのか。どう立ち向かえばよいのか。

[大久保 心織，TechTargetジャパン]

　ITの変化に合わせてサイバー攻撃は巧妙化し、さまざまな手法が登場している。クラウドの設定ミスに起因する情報漏えいの原因と対策を紹介した前編「『クラウドの設定ミスで情報漏えい』はなぜ起こるのか？　取るべき対策は」に引き続き、2019年の主なセキュリティ事件と、それを受けて2020年以降に気を付けるべきリスクを紹介する。

併せて読みたいお薦め記事

セキュリティ事件を知る

• Windows XPにもパッチを提供　脆弱性「BlueKeep」はなぜ危険か
• 7pay事件で再考すべき「Webアプリケーション」のリスクと対策
• Intel製CPUを狙う攻撃「ZombieLoad」に新種が登場　現行のパッチも無効

変化に合わせたセキュリティ対策

• 「CASB」とは？　クラウドセキュリティを強化する4つの役割
• 全てを疑う「ゼロトラスト」でネットワークを保護すべき5つの理由

「7pay」の悲劇を繰り返さないために

　政府が現金をやりとりすることなく決済する「キャッシュレス決済」を推進する中、オンラインのEコマース（EC）サイトだけでなく、実店舗でもキャッシュレス決済を利用できる環境の整備が求められている。キャッシュレス決済を導入する事業者は、そのためのITインフラやアプリケーションを導入した上で、セキュアな状態を保って運用しなければならない。攻撃者は普及が進むキャッシュレス決済の隙を狙うことで、攻撃の機会を増やそうとたくらんでいるからだ。

　脆弱（ぜいじゃく）なキャッシュレス決済のシステムが狙われた事例がある。その代表例が、2019年に発生した決済サービス「7pay」での不正ログイン事件だ。この事件では、第三者にクレジットカードを不正利用される被害者が続出した。マカフィーはアンケート調査の結果を基に「2019年の10大セキュリティ事件ランキング」を作成し、第1位に7payの事件を挙げた。その中で「企業は利便性と安全性の片方だけを優先させることなく、両方を確保したセキュアなサービス提供に努めるべきだ」と注意を呼び掛けている。

ID・パスワード以外の認証要素で機密情報を保護

　ID・パスワードといった知識要素に加え、指紋などの生体要素やICカードなどの小勇要素を用いた複数の認証要素を用いた多要素認証により、認証時のセキュリティを強化できる。実際、7payの事件では、運営元のセブン＆アイ・ホールディングスが事後対策として「二段階認証の導入」（注）を発表した。

※注：二段階で認証を実施する認証方式。各段階の認証要素の違いは問わない。

　決済用アプリケーションの保護も怠ってはならない。「WAF」（Webアプリケーションファイアウォール）を使うことで、ID登録や支払いなどの機密情報を取り扱う通信を攻撃者が傍受することを防ぎ、アプリケーションを安全に保つことができる。

5Gの本格導入が招く危険