Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

ディノス・セシールの会員を責めない姿勢

セシールオンラインショップで中国のIPから不正アクセスがあり、490件の不正ログインが成功した件がSecurity-Nextの記事に出ていました。

www.security-next.com

■公式発表

弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関するお詫びとお知らせ[第2報]

弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関するお詫びとお知らせ

 

今回の攻撃では、不正なログインの試行に用いられた1938件のメールアドレスすべてが、登録されている顧客IDと一致。同社は、情報流出の可能性が高いとして調査を進めていたが、同社経由の流出ではなく、攻撃リストから同社顧客と一致しないデータをふるい落とす「スクリーニング処理」が行われたリストが用いられたとの調査結果を明らかにした。

同社によれば、攻撃者は既存登録者のメールアドレスを重複して登録できない「新規登録」の機能を悪用していたという。同機能ですでに顧客登録済みのメールアドレスであるか事前に確認。選別したリストを用いてログインを試行したと見られる。

(Security Next記事より引用)

 

ディノス・セシールは、最近はディノス側の方が何度もパスワードリスト攻撃を受けており、その攻撃を多くを撃退(防衛)していましたが、今回はどうやら不正アクセスが成立してしまったようです。その攻撃手法として、「新規登録機能の悪用」が気になる所。今回の事件では、ディノス・セシールから2回の公式リリースが6/6と6/8出ているので、第2報を見てみますと、

 

1.本件不正アクセスについて
弊社が運営する「セシールオンラインショップ」において、6月2日(土)10時19分~22分にかけて同一IPアドレス(中国)より、メールアドレス・パスワードを使った、“なりすまし”による不正アクセスが発生し、その一部が不正ログインされ、お客様情報(氏名、所有ポイント数)が第三者に閲覧された可能性があることが判明。そのため、攻撃元IPアドレスを自動遮断処理によってアクセス不可の状態に遷移させたものの、その後も他の複数IPアドレス(全て中国)から不正ログイン試行が続いたため、プロバイダー単位のアクセス遮断対応を実施。

 

≪今回の不正アクセス要因≫
弊社内で顧客情報アクセスログ等を6月6日(水)までに確認したところ、不正なアクセスログは検知されませんでした。同日に外部の調査機関(TIS株式会社)に本件調査を依頼し、本日朝時点で本件は弊社からお客様のメールアドレスが流出したのではなく、「セシールオンラインショップ」の新規顧客登録申請時の二重登録防止機能を悪用した、リストの「スクリーニング」であったことが判明しました。

外部調査機関によると今回の不正アクセスの手段は、以下の通り考えられるとのことです。
①外部で不正に入手したリストのうちメールアドレスを用いて、弊社ECサイトにて「新規顧客登録申請」を行う。
②すでにご登録のあるメールアドレスでは二重に登録ができない機能を悪用し、登録済みのメールアドレスであることを確認。
③弊社ECサイトで登録済みと確認ができたメールアドレスでリストを生成し、外部で不正に入手してあったパスワードにより不正ログインを試行。

上記の根拠としては以下の通りです。
①6月2日(土)午前0時頃から、165,038件(※)と通常以上の新規顧客登録申請があった
②うち3,533件については、すでにお客様登録があったため新規顧客登録はできなかった
③6月2日(土)午前10時過ぎから不正アクセスを受けた1,938件全てが上記3,533件に含まれていた

セシールのリリースより引用)

 ◆キタきつねの所感

基本的なところで、まず最初に書かなければならないのは、ディノス・セシールが悪かったかと言われれば、パスワードを他サイトで使いまわしをする会員が悪い事は間違いありません。この手の事件が発生する度に、ディノス・セシールは、会員に対して(パスワードの使いまわしをしないように)啓蒙の情報を発信しています。

それでも、パスワードリスト型攻撃を受け続けているのです。まずは会員を責めないこのディノスセシールの企業姿勢というのは高く評価されるべきだと思います。

今回の事件に関しても、不正アクセスが成立してしまっていますが、防御側は3分程度で攻撃を検知し、攻撃IPの自動遮断対策に移っています。ここまでのスピードを持って対処できない企業も多いのではないでしょうか。

もう1点すごいなと思うのが、6月2日に攻撃を受けて、事件の自社でのログ調査を6月6日に終わらせており、6月8日には事件の原因まで特定、リリース発表までに至っている点は、賞賛に値すべきだと思います。

(次の情報セキュリティ事故対応アワードにもノミネートされそうな・・・)

 

多くの企業が、「サーバの脆弱性を突かれて個人情報が漏えいしました」とお茶を濁した様な、脆弱性って何だったのですか?と聞きたくなる事故発表しかしない中、こうした他社に参考になるような発表こそ、日本企業が追い求める情報連携のあるべき姿(の1つ)といえるかも知れません。

 

・・・と書いてきて、とは言えディノス・セシール側がやるべきだった(かもしれない)事も気づきました。

それは、夜中の短時間に16万件の新規登録申請が行われ(おそらくツール試行でしょう)、3500件がエラーとなった所です。ログに出ていた訳ですので、ここを監視していれば、事件を防げたか、異常値として監視警戒体制を強められた気がします。

それ以外にも、当然ディノス・セシール側でも気づいていると思いますが、海外(中国)からの同一IPによる短時間での(ツールと推測される)新規登録について、制限をかける事も出来たのかと思います。

今回の事件では人員体制が手薄な真夜中を狙って新規登録がされていますので、やはりAI的な対策しか難しいかったかも知れません。だとすれば、考えられる有効な対策としては、リスクベース認証でしょうか。上記の怪しげな条件は、確実にスコアに反映されると思うので、まず入り口(新規登録)の部分から抑え、その後の不正アクセスでもリスクベース情報を有効に使えれば、効果はあったと思います。

継続的に攻撃を受けている事を考えれば、新規登録への強化対策が無いと今後もリスト型攻撃が成功する可能性が高くなりますので、ディノス・セシールが熟慮の上で実装する対策が、有効な策として他社もよく見ておく必要がありそうです

 

参考:

foxsecurity.hatenablog.com

 

 

小学校の授業のイラスト(女性教師)

 

 

更新履歴

  • 2018年6月9日AM(予約投稿)