不正アクセス、不正ログインを防ぎます！ パズル認証､ログイン履歴の分析で対策

Capyは渋谷のマンションの一室がオフィス。本社は米国デラウェア州で設立したため、契約書など書類はすべて英語で作成している

「不正ログインが発覚」「不正アクセスを受けた」「個人情報が漏洩した」ーー。 

残念ながら、今や、そんなニュースは日常茶飯事となっている。2013年以降、グーグル、エバーノート、ヤフー、NTTグループ、LINE、OCN、ドワンゴ、ミクシィ、JR東日本、パナソニック、日本航空、ベネッセなど、実に多くの企業が不正ログインや不正アクセスを受けたり、個人情報が流出したことを公表している。不正ログインを防ぎ、なりすましによる被害を防ぐことは、インターネット上でサービスを提供する企業にとって喫緊の課題だ。

そこへ、「まさに、私たちの出番」と、不正ログイン対策に特化したサービスを提供するスタートアップ企業がある。2012年10月設立の「Capy（キャピー）」だ。13年12月に「Capyパズルキャプチャ」を、今年８月末からは「Capyリスクベース認証」の提供を開始したばかりである。

15分おきに攻撃するパターンも

岡田満雄Founder&CEO

事業開発を担当する島津敦好氏によると、日本で不正ログインが目立って増えだしたのは2013年以降。英語のサイトに比べると狙われにくかった日本のサイトだが、サイトの翻訳機能が普及するにつれ、ハッカーが言語の壁を越えて攻撃するケースが増えてきたという。

「以前は企業の内部関係者が個人情報を漏洩させる事件が多かった。が、最近では、”リスト型攻撃”が非常に増えている。データベースに潜り込むのと比べるとそう難しいことではなく、誰もがハッカーになれる時代になった」（島津氏）。リスト型攻撃（リスク型アカウントハッキング）とは、何らかの手段によって不正に入手した他者のID・パスワードを、リストのように用いてさまざまなサイトのログインを試み、個人情報の閲覧などを行うサイバー攻撃のことだ。

「以前は0.003％といった低い成功率だったのが、最近は1％を超えるどころか、10％という例も出てきた」（同）という。さらに、1秒間に何十回とログインすると企業側もロックをかけるのだが、最近は15分おき、1時間おきというように、攻撃パターンも巧妙になっている。