楽しい「パズル認証」でセキュリティ強化と利便性の両立に挑むワコール

自社オリジナル画像を使った2段階パズル認証でパスワードリスト攻撃に対峙する

女性用インナーウェアの販売サイト「ワコールウェブストア」を運営するワコールは、昨今激化するパスワードリスト攻撃への対策に悩んでいた。対策のためにログイン時の認証を厳しくすれば、ユーザーの利便性を損ない、売り上げ低下は避けられない。そんな同社が導入したのは、なじみのあるパズルでユーザー認証を行う「CapyパズルCAPTCHA」と「Capyリアルタイムブラックリスト」だ。これらにより、セキュリティ強化と利便性のバランスを実現した。

攻撃増加の兆候を検知し
さらなる対策強化に乗り出す

ワコール本社ビル
(京都市南区)

婦人向け高級インナーウェアブランド「サルート」や高機能インナー「Wing」、高機能スポーツウェア「CW-X」などの人気ブランドを展開しているワコール。同社ではインナーウェアの開発・製造・卸だけでなく、消費者とじかに向き合う新しい販売方式にも積極的に取り組んできた。1980年代にはカタログ通販事業を開始。2000年には公式通販サイトをスタートし、現在メール会員数は60万人以上に上る。このサイトの開設に際し、BtoCビジネス トータルソリューション「ShopMAX®」の導入を支援したのが日本ユニシスだ。日本ユニシスは2002年のワコール基幹システムの構築以来、重要なITパートナーとなっている。

ECサイトを運営する中、2017年末ごろから「パスワードリスト攻撃」と呼ばれるWeb上での新たな脅威が増加してきた。パスワードリスト攻撃とは、不正入手したユーザーIDとパスワードを利用してWebサイトへのログインを試行する攻撃だ。同じユーザーIDとパスワードを使い回すネット利用者が多いことに着目した手口で、一般的な攻撃と比べると不正ログインの成功率は高く、検出されにくいことが特徴だ。

ワコールのECサイトでは攻撃を受けていなかったが、被害企業は増えていることから、ワコールでも対応策の検討を始めた。株式会社ワコールホールディングス 経営企画部 情報セキュリティ推進担当 係長 藪下孝一氏は、次のように説明する。

株式会社ワコールホールディングス
経営企画部 情報セキュリティ推進担当
係長 藪下孝一氏

「パスワードリスト攻撃が社会的な事件となり、実際に有名企業でも被害に遭うケースが聞かれるようになりました。当社も本格的に攻撃される前に、早急に手を打つ必要があると判断しました」

藪下氏はパスワードリスト攻撃に対する他社の取り組みを調査した。多くの企業では、IDとパスワードのほかにもう1つ認証の仕組みを加え、ログインにかかるハードルを上げるという対策を取っている。

よく使われているのは、CAPTCHA画像による認証だ。CAPTCHA画像には意図的にゆがめられた文字・数字の羅列が表示されており、正しく入力するとシステム側が「スパムやボットではなく、人間のユーザーがログインしようとしている」と判断し、ログインできる。早速自社にこの認証を導入しようとしたところ、社内で大きな課題に突き当たったという。

認証を強化すると
利便性が低下する懸念

その課題について、株式会社ワコール 情報システム部 小売情報システム課 加茂優里氏は次のように説明する。

株式会社ワコール
情報システム部 小売情報システム課
加茂優里氏

「システムに関しては、まず堅牢なデータセンターにサーバーを設置し、不正な攻撃に備えるべく、さまざまなセキュリティ対策を実施してきました。ただしそれらはユーザーから見えない裏側の対策です。今回のように認証を2段階にするということは、ユーザーに負担を強いることになるので、ECサイトを運用している販売担当部門や、Web全体のブランドを統括しているCRM部門からは、導入をためらう意見が上がりました」

CAPTCHA画像の文字列は判別しづらいものがあり、ログインをすること自体のハードルが上がって購買意欲がそがれてしまうユーザーも多い。対策会議上では「CAPTCHA画像の認証を導入すると、離脱率が上がってしまう」という意見も出たという。ワコールでは「Webサイトで売上高100億円を目指す」という経営目標を掲げており、ユーザーの負担を強いて売り上げが下がる施策は敬遠したいという思いがあった。

そこで藪下氏が、長年幅広い分野で付き合いがある日本ユニシスに相談したところ、提案されたのが不正アクセス対策ソリューション「Capy(キャピー)」だった。

自社画像を使ったパズルで
楽しみながら認証を強化

日本ユニシスが提供するCapyは、ログイン時の認証セキュリティに強く、導入企業が急増している。導入に当たっては、Capyサイトでアカウントを取得後、提供されるタグをWebサイトに埋め込むだけで認証システムが実装できる。この導入の速さもさることながら、特に評価した点は「文字列入力ではなく、ゲーム感覚でできる『パズル認証』を実装できることでした」と藪下氏は語る。

CapyパズルCAPTCHA

パズル認証とは、一部が切り取られた画像にピースをはめ込むタイプの認証方法のこと。文字列入力に比べてユーザーが楽しめるという利点がある。これを実現するのが「CapyパズルCAPTCHA」だ。

CapyパズルCAPTCHAの特長は、「パズルに使用する画像を自由に指定できる」ということにある。「商品写真をパズル認証に使うのであれば、広告・告知効果も見込めることを説明したところ、それまで難色を示していた関係部署も導入に賛成してくれました」と、加茂氏は当時の状況を振り返る。

パズルに使う画像は、検討の結果、本社ビル受付横にある「ブラウォール」と呼ばれる壁の写真を使うことに決まった。ワコール製ブラジャーが壁一面に並べられている場所で、ブランドを象徴する画像だ。

パズルの画像に採用されたワコール本社ビルの「ブラウォール」

同時に、攻撃者の情報(ブラックIPアドレス)をサイト間でリアルタイムに共有して攻撃を未然に防ぐ「Capyリアルタイムブラックリスト」も導入した。「ユーザーのログイン画面ではパズル認証で不正ログインを防御し、一方システムの裏側でブラックIPアドレスを検知する。表と裏の両方でセキュリティ効果を高めました」と藪下氏は説明する。

安全・安心なEC利用に向け
これからも挑戦は続く

CapyパズルCAPTCHA、Capyリアルタイムブラックリストは2018年12月下旬に本稼働した。これまでより1段階認証の負荷が増えることになるが、同社では「セキュリティ強化に取り組んでいることを知っていただく良い機会になる」と期待している。

2018年2月には、コンピュータセキュリティにかかるインシデントに対処するための国内協議会である日本シーサート(CSIRT: Computer Security Incident Response Team)協議会に加盟した。自社だけでなく、他社と連携してセキュリティ対策を進めていきながら、「Webサイトの売上高100億円達成」を目指していく構えだ。

関連リンク