Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ニコニコのリスト型アカウントハッキング攻撃

ドワンゴが5月10日に数百万件のリスト型アカウントハッキング攻撃を受けた事を発表しました。

news.nicovideo.jp

■公式発表

 他社流出パスワードを用いた不正ログインについて(2018/05)|ニコニコインフォ

 

ニコニコ動画などで利用するniconicoアカウントでは、10日に数百万件超の大規模なログイン試行を検知。ドワンゴによると、攻撃者はniconico以外のサービスで使われているメールアドレスとパスワードの組み合わせを不正に入手。同じメールアドレス・パスワードでniconicoにログインできないかを試す「リスト型アカウントハッキング」を仕掛けていると考えられるとしている。(ニコニコニュース記事より引用)

 

◆キタきつねの所感

大規模なリスト型攻撃は久しぶりに耳にしました。公式発表などを見ると不正ログインが複数検出されているとありますので、残念ながらというべきか、当然というべきか、リスト型攻撃は成功してしまっている様です。

元が他社で使われているIDとパスの組み合わせですから、パスワード(とID)使い回しをしているユーザが一定数いる以上、こうした攻撃は完全には防げません。リスト型攻撃による大規模な個人情報漏えい事件は2013年~2014年頃に多かった気がしますが、改めて調べてみると2014年にドワンゴも被害を発表しています。

dwango.co.jp

リリース記事によると、この時の被害は、

【不正ログイン件数】
 219,926アカウント(ID) 

  ※不正ログイン試行回数:2,203,590回

 

【ニコニコポイントの不正使用による被害件数および金額】

  • ニコニコポイントを不正に使用されたアカウント(ID)数:19アカウント(ID)
  • ニコニコポイント不正使用による被害総額:173,610円

220万件の不正試行で19アカウントの被害。(かなり効率が悪い気がしますが・・・)今回の不正侵害されたアカウント数は発表されていませんが、19より少ないのだと思われます。

今回の金銭的な被害は無さそうですが、気になったのが『数百万件の不正アクセス』という部分。前回2014年の攻撃では、

6月10日(火):

  • 登録ユーザー以外の第三者による不正ログイン試行を検出
  • 同一IPアドレスよる大規模な不正ログインを確認。

同一IPアドレスから大量のログイン試行がされています。今回がどうだったのか公式リリースに書かれてませんので、もし同一IPからの攻撃だったのだとすれば、数百万件のリクエストを受けている最中に防げたのではないか、と愚考します。

ニコニコ自体はサービスの特性上、同時ログインユーザも多いので中々難しいのかも知れませんが、同一IPからの攻撃と判断した上でログイン試行を拒否したり、遅らせたりする事が技術的にはできる気がするのですが。。。

もしユーザビリティ重視で考えたシステム設計なのであれば、手動での攻撃IPのブラックリスト登録よりは、リスクベース認証などを裏で仕掛ける対策を追加するのも効果的かも知れません。

 

先日もとある企業からリスト型攻撃への対策を聞かれましたが、、、根本的にはユーザが使いまわししている以上は防ぎきれませんとお答えしました。

そもそも人の頭は多くのパスワードを覚えられない問題もありますので、パスワードを発明したFernando氏が言うように『パスワードは悪夢』、つまり限界を迎えているといっても過言ではありません。

blogs.wsj.com

安上がりで便利なパスワードを延命させるには・・・新たなセキュリティ策との多層防御の方向に持っていくか、パスワードだけで考えるならば、(使いまわしをしないように)地道にユーザを啓蒙していくしかないというのが個人的な結論です。

 

※5/14追記 続報記事では複数IPからの攻撃だったようです。ブラックリストを使って手動で弾くのも難しいので、自動ツール使うか、リスクベース使うか…単体サービスを狙った大規模な攻撃は人ではなかなか防ぎきれないかも知れません

 

参考:

www.soumu.go.jp

 

ブラックリストのイラスト

更新履歴

  • 2018年5月12日AM(予約投稿)