Security Nextでアンケートサイト「アンとケイト」サイトへのリスト攻撃(防衛)の記事が出ていました。
www.security-next.com
みんなのアンケートコミュニティ アンとケイト
同社は、同社経由の情報流出について否定。8月に入り、海外のIPアドレスを発信元としたログインの失敗回数が増加していることを検知し、メールアドレスが特定のドメインに限られていたことから、他所で流出したリストを用いて、ログインの試行が行われた可能性が高いと見ている。
同社は不正ログインによる被害を防止するため、利用者に対してパスワードの使い回しを避けるよう8月6日に注意喚起を実施。
(Security Next記事より引用)
◆キタきつねの所感
パスワードリスト攻撃に対して「防衛が成功」した内容ではありますが、
特定ドメインのリスト攻撃という部分が気になります。恐らくどこかのDarkWeb等々に、まだ事件が公表されてない事業者の漏洩情報が載っているのだと思います。
攻撃の動機部分に関しては、今回攻撃を受けたのは、アンケートサイトの「アンとケイト」であり、アンケート回答の謝礼の不正現金化、あるいは他ポイントとの不正交換を狙ったのだと思われます。
こうした攻撃記事を読んだ時によく思うのですが、
海外のIPアドレスを発信元としたログインの失敗回数が増加している
サービス提供側は、海外のIPアドレスからのログイン試行をキックする事は、何か問題があるのでしょうか?勿論正規ユーザが海外旅行中にアンケートに、といった利用シーンもあるかと思いますが、海外IPからのアクセスを最初から弾く事で、かなりリスクは減る気がするのですが。。。
それをやると、IPアドレス偽装(日本からのアクセスと偽装する)攻撃が増えるだけだと言われる方もいらっしゃいそうですが、アクセスする際の遅延対策(ログイン失敗すると再ログイン試行が出来るまでに時間がかかる仕様)等を併せて実装すれば、攻撃者は他のセキュリティ対策が緩いサイトに対象を移す可能性が高くなるのではないかと思います。
不正ログインが発生した場合についても、個人情報を閲覧できるページへアクセスされた場合に、不正と疑われるユーザーを検知するしくみを導入していると同社は説明。
また不正なポイント交換を防ぐため、登録情報の変更直後におけるポイント交換については、確認のため時間を要する場合があるとしている。
(Security Next記事より引用)
記事を見ると、アンとケイトは不正検知(リスクベースでしょうか?)に成功しており、パスワードリスト攻撃を(潜在的に)受ける可能性があるサービス事業者は、やはり不正検知の仕組みを作る事を見習うべきだと思います。
それ以外にもポイント交換に時間をかける、というのも立派な遅延対策で有効な対策と言え、各サービス提供者の参考になりそうです。
更新履歴
