Last Updated on 2025-05-01 18:53 by admin
2025年4月、カナダのサイバーセキュリティ企業Flareは、アカウント乗っ取り(ATO)およびセッションハイジャックの被害実態をまとめた最新レポートを発表した。
同レポートによれば、eコマース、ゲーム、SaaS、ストリーミング業界では毎月10万件以上のアカウントが新たに流出しており、SNSでは月間約46万件、クラウドアプリで約24万件、エンタメプラットフォームで約14万件の流出が確認されている。
攻撃手法は、パスワード流出だけでなく、セッションクッキーを盗む「セッションハイジャック」が主流となり、多要素認証(MFA)を回避した不正ログインが増加している。
被害企業は調査・対応の人件費、詐欺被害、顧客離脱による売上減少など多面的な経済的損失を被っている。例えば、1億人の有料会員を持つサービスで0.5%が被害、20%が離脱した場合、年間1,200万ドルの損失となる。
消費者の73%は「アカウント乗っ取り防止は企業の責任」と考えているが、実際に企業から被害通知を受けたのは43%にとどまる。
Flareは、流出認証情報やセッションクッキーの監視・自動検知・即時無効化を可能にする「Flare Account and Session Takeover Prevention(ASTP)」を提供し、企業の被害防止を支援している。
from:Customer Account Takeovers: The Multi-Billion Dollar Problem You Don’t Know About
【編集部解説】
アカウント乗っ取り(ATO)やセッションハイジャックは、2024年から2025年にかけて世界的に深刻化しているサイバー犯罪の一つです。Flare社の最新レポートや他社調査を総合すると、攻撃の高度化と自動化により、従来のパスワード流出だけでなく、セッションクッキーを悪用した多要素認証回避が急増しています。
この攻撃手法は、ユーザーが一度ログインした後の「セッション情報」を盗み取ることで、パスワードや追加認証を経ずに不正アクセスを実現します。従来のセキュリティ対策では検知が難しく、企業側の対応が後手に回るケースが目立ちます。
経済的なインパクトも無視できません。調査・対応コストに加え、顧客の信頼失墜やサービス解約による売上減少が深刻です。米国では2023年だけで約130億ドルの損失が発生したとされ、今後も被害拡大が懸念されています。
一方、Flareのような新しいセキュリティソリューションは、流出情報の自動検知や即時無効化など、リアルタイムでの対応力を高めています。これにより、被害の早期発見・拡大防止が期待されます。
今後は、AIや行動分析による異常検知、積極的な被害通知、グローバルな規制強化といった多層的な対策が不可欠です。私たち一人ひとりも、パスワード管理やセキュリティ意識の向上を日常的に意識することが求められています。
【用語解説】
アカウント乗っ取り(ATO)
攻撃者が他人のオンラインアカウントに不正アクセスし、なりすまして悪用する行為。
セッションハイジャック
Webサービス利用中の「セッションID」や「クッキー」を盗み、本人になりすまして操作する攻撃。
インフォスティーラー
感染した端末からID・パスワード、クレジットカード情報などを盗むマルウェア。
Flare(フレア)
カナダ発のサイバーセキュリティ企業。流出アカウントやセッション情報の自動検知・通知、脅威インテリジェンスなどを提供している。
【参考リンク】
Flare公式サイト(外部)
脅威インテリジェンスや流出アカウント監視、セッション乗っ取り対策を提供するサイバーセキュリティ企業。
Flare(LinkedIn)(外部)
Flare社の企業情報やサービス概要、最新ニュースなどを掲載している公式ページ。
【編集部後記】
みなさんは普段、ご自身のアカウントの安全性についてどのように考えていますか?
今回の事案をきっかけに、パスワード管理やセキュリティ対策について少し見直してみるのも良いかもしれません。
innovaTopia編集部も、みなさんと一緒にこの分野の新しい動きや実践的な工夫を探していきたいと思っています。
体験談や気になることがあれば、ぜひSNSで教えてください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
