Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

英国National Lotteryの不正アクセス事件

DailyMailに英国の「National Lottery」が不正アクセス被害を受け、1050万人の登録プレイヤーに対してパスワード変更を促したとの3/16の記事がのっていました。

www.dailymail.co.uk

National Lottery(国営宝くじ)はCamelot Groupによって運営されており、(今回告知をされた)会員数10.5百万人がすべて英国民だとすると・・英国民の6人に1人がアカウントを持っている程に、人気の会員サイトといえるかと思います。

f:id:foxcafelate:20180317184619j:plain

公式サイトを見てみたのですが、今回の件でのリリースらしき内容は確認できませんでした。ですのでMailOnlineの記事から被害詳細を見てみると、

 

The move follows an attempt by hackers to access accounts using a technique known as ‘credential stuffing’.

The mass attack was successful in accessing some 150 accounts and in a small number – fewer than 10 – some activity took place within the account.

(Mail Online記事より引用)

 

となっており、『パスワード使い回し(Credentila Stuffing)』によって、150アカウントが不正ログインに成功され、その内10アカウント以下がアカウントを乗っ取られた、という事件だったようです。

ニュースタイトルを見た時に公営ギャンブルサイトが不正アクセスを受けたとの印象でしたので大きなハッキング事件かなと思ったのですが、日本でも(残念ながら未だに)良くあるパスワード使いまわしによる不正ログインの事件であったようです。

 

よくありそうな攻撃だと思うので、急いで会員に告知(使い回しをしている場合はパスワード変更推奨)しなければならなかった理由が気になったのですが、記事中にその答えらしき部分がありました。

 

The National Lottery is advising all 10.5million people with online accounts to change their passwords following a security breach that happened days before tonight's £14million Euromillions draw.

(Mail Online記事より引用)

 

丁度、14百万ポンドのEuromillion(賞金額200億円以上?の抽選日に併せての攻撃だったので、被害数は少なくても、その後の影響を考えて緊急告知になったのだと思われます。

 

National Lotteryのセキュリティを調べてみたのですが・・・当然と言えば当然ではありますが、しっかりした認証(ISMSPCI DSS)等をとっているようです。

 

f:id:foxcafelate:20180317190900j:plain

 

試しに新しいアカウントを取ってみようとしたのですが、英国のIPで無いと弾かれました

 

f:id:foxcafelate:20180317190947j:plain

 

セキュリティをしっかりとしていたから、10アカウント以下のアカウント乗っ取り被害で済んだとも言えますし、これだけセキュリティをしっかりしていても、(国内IPからの)『パスワードの使いまわし』を突いた攻撃は防げないと考える事もできるかも知れません。

 

The National Lottery

 

更新履歴

  • 2018年3月17日PM(予約投稿)