Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

カメラのキタムラが不正アクセスを受けた件をつぶやいてみる。

1月24日にカメラのキタムラネットショップで不正アクセスにより複数名の会員情報が不正閲覧された事を発表しました。この事件の背景にあるパスワードの使いまわしについて少しつぶやいてみます。

www.kitamura.jp

 

■公式発表

 弊社「カメラのキタムラネットショップ」への“なりすまし”による不正アクセスについて

 

弊社が運営する「カメラのキタムラネットショップ」において、2017年11月15日(水)~16日(木)にかけて、複数のIPアドレス(日本国外)より、メールアドレス・パスワードを使い“なりすまし”による不正アクセスが行われました。そのうち、複数名の会員が不正にログインされ、お客様情報が不正アクセスをした第三者に閲覧された可能性があることが同年12月6日午前11時頃に判明しました。なお、今回使われたメールアドレス・パスワードは弊社内からではなく、第三者が外部で不正に取得したものと思われます。(リリースより引用)

◆キタきつねの所感

正直、カメラのキタムラがリリースを出すべき事件かと言うと、個人情報保護法へのコンプライアンス観点では必要です。ですが事実が第三者(他社)からのメールアドレス・パスワード漏えい(=使いまわし)であれば、なかなか不正ログインは防ぎきれないので、再発防止策を考えるのはなかなか骨が折れるだろうと推察します。生体認証であったり、リスクベース認証などを更に被せる事は有効だとは思いますが、実被害が軽微であった事から考えると、

全てのお客様に対し、メール及び弊社ウェブサイトにおいて、キタムラネットショップIDパスワードの管理徹底をお願いするとともに注意喚起いたしました。(リリースより引用)

以上の対策はなかなかすぐに打てないかも知れません。

 

サービス低下を割り切ってしまうのであれば、国内利用がほぼ全ての会社である事を考えると、海外からのIPを全て弾くという運用も海外からの不正アクセスが多い現状では有効だと思いますが、それが出来ない場合はやはり地道なパスワード啓蒙しかないのかも知れません。

 

参考:IPA STOP!!パスワード使い回し!!キャンペーン2017

 

 

一眼レフカメラとレンズのセットのイラスト

更新履歴

  • 2018年1月28日 PM(予約投稿)