Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

ドコモは舵を切るか?

ドコモオンラインショップへの不正アクセスにより、iPhoneX1000台が不正購入された件が出ていました。

www3.nhk.or.jp

会社によりますと、先月下旬以降、このサイトにおよそ1800件の不正アクセスがあり、利用者が知らないうちに14万円台の端末などを購入させられる被害が、およそ1000件確認されたということです。

このサイトを利用するにはIDとパスワードが必要ですが、不正なアクセスはIDなどを自動的に次々と入力する「リスト型攻撃」によると見られるということです。

購入された端末はコンビニエンスストアが受取先になっており、すでに何者かが受け取ったケースもあるということで、会社が警察に被害届を出すことにしています。

NHK記事より引用)

 

ドコモからのお知らせ : 不正なアクセス対策としての「2段階認証」ご利用のお願い | お知らせ | NTTドコモ

 

◆キタきつねの所感

パスワードリスト型攻撃の被害が新型端末1000台。結果だけ見れば不正アクセスの被害としては少ない方かも知れません。各種記事を見る限り、今回の被害についてドコモは不正アクセスを受けたユーザ(1000人)に請求しないようです。不正アクセス1800回試行

1800回の試行で1000件の購入被害という事は、単純計算で55%以上の成功率となり、かなり精度の高いリストが使われた事が分かります。普通はこの割合で不正アクセスが成功するとは思えないので、いくつかの攻撃シナリオが考えられます。例えば、、、

 ①ドコモ関係者の内部犯行

 ②ドコモのサーバ(バックアップ)への不正侵入

 ③他サイトのデータ漏洩情報を使った攻撃(リスト型攻撃)

 ④フィッシングメールからの情報窃取による攻撃

という所でしょうか。③と発表しているが故に①の可能性はドコモが調査済だと思いますので恐らく無いのでしょう(これで内部犯行だと何を調べたの?となってしまうので)。②が攻撃の起因だとすれば、1800件で済まないデータが漏洩していると思いますので、これも可能性は薄いと思います。

③はドコモが公式に言っているので、当然可能性が高いのかと思いますが、成功率がこんなに高いのが非常に疑問です。半分以上のリスト攻撃が当たるというのは・・・あまり聞いた事がありません。可能性があるとすると、リバースブルートフォース(逆総当り)でリスト型攻撃が使われた様な場合でしょうか。

 

④については、緊急情報では、NTTドコモに対する攻撃は2018年は出てきてませんが、

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

今年の4月にアラートを上げられている方も居ましたので・・・

did2memo.net

 

元々のユーザ数が多い事もあり、もしかするとこの手のフィッシングメールに引っかかった方が、今回の被害者(1800人)である可能性は残っているのではないかと推測します。

普通ならフィッシングにひっかかった個人情報は、すぐに不正アクセスに使われる(鮮度が高いうちに使う)事が多いのですが、もし攻撃者側がドコモの『運用上の穴』を探していたのだとすると、お盆休みで、不正アクセスを受けたユーザとそしてドコモ側のシステム担当者も警戒が薄くなるこの時期に、攻撃を仕掛けて来た、そんな可能性もは十分に考えられます。

 

とは言え、③であっても④であっても、正規ユーザのアクセスとリストを使った不正アクセスの区別が非常につきづらく、検知は非常に難しかったのではないかと思います。

IPなどを裏で見て不審なIPを弾くか警告を出す手法なども考えられますが、通信キャリアの特性上、海外からの正規ユーザのアクセスもありえてしまうので、完全に試行をブロックするのは難しいですし、今回の事件ではエラー率が極端に低い(45%)ので、ユーザの不審な動きを見ての検知も難しかったのではないかと思います。

様々なご意見があるかとは思いますが、不正アクセスへの対策に関しては、(③④のケースでは)ドコモにはあまり非が無い気がします。正直、どこのサービス提供者でも同じようなリスト型攻撃を受けた場合は、ある程度被害を受けてしまった可能性は高いと思います。

 

では、ドコモは何が悪かったのでしょうか?

 

私はサービス設計(不正注文への対策)だと思います。

ポイント交換サービスを提供する会社が数年前に多く被害を受けていた事件がありましたが、不正に交換されて、それが不正者に渡ってしまう。この部分において、ドコモはユーザフレンドリーであったかも知れませんが、セキュリティ考慮は少し足りなかったと言えそうです。

 

調べてみると、3大キャリアの中で、ドコモだけが交換機種をコンビニで受け取る事ができます。

f:id:foxcafelate:20180816122900j:plain

 

ファミリーマート、ローソン、ミニストップを受け取り場所に指定できます。コンビニには防犯カメラがあるので、今回の事件も警察がその映像を分析していると思いますが、振り込め詐欺と同様に、出し子(捕まっても良い末端のバイト的な不正者)しか捕まえられないかも知れません。

 

auは、自宅か店舗でしか受取オプションがありません。新規端末だと、偽造口座・免許などと空き家を利用した不正受取などの事件も過去には起きていたかと思いますが、コンビニ受領に比べて本人確認や住所確認が容易であり、ドコモと同じ脆弱性はありません。

f:id:foxcafelate:20180816123215j:plain

 

修理端末に関しては、コンビニや宅配ロッカーでの受け取りもある様ですが、

f:id:foxcafelate:20180816123534j:plain

 

これはあくまでも代替機を受け取る有償サービスでしかなく、新規契約時に申し込みしたユーザのみ(途中からサービス変更できない)対象なので、新型端末の窃取というリスクは無いといえます。

 

ソフトバンクも自宅か店舗での受け取りでした。

f:id:foxcafelate:20180816124134j:plain

 

 

調べた結果から言えば、ドコモはユーザフレンドリーではありますが、セキュリティの甘い『穴』を狙われたと考えるのが良さそうです。

 

 

事件を受けて、ドコモは8/15にシステム変更をかける事をドコモオンラインショップ上で告知してました

f:id:foxcafelate:20180816124337j:plain

残念ながらドコモのホームページでのお知らせとは(1日違いの投稿にも関わらず)何もリンクされていません。これから様々なチャネルで告知をするのかも知れませんが、階層がばらばらでリンクが貼られて無いので、普通の人は気づかないのではないでしょうか。

※たまたま私は目に付きましたが、本来はドコモ本体HP側の告知にも入れるべき内容ではないかと思うのですが・・・

 

 

私は、ここにドコモが不正アクセスを受けてしまった遠因を感じます。良くも悪くも、ドコモは巨大な組織であり、縦割り組織の弊害が出ているのではないでしょうか。(※ドコモHPと、ドコモオンラインショップHPの管轄部署が違いそうな気がします)

 

とは言え、今回の事件をドコモが前向きに捉えている(セキュリティの観点で)と思える部分も、感じられました。それが事件を受けてのお知らせに書いてあった、この部分です。

 是非、「2段階認証」をご利用いただきますよう、お願い申し上げます。
※お客様が2段階認証を「利用する」「利用しない」のどちらに設定されている場合でもドコモの判断によりセキュリティコードの入力を求める場合があります

(ドコモお知らせより引用)

2段階認証を使う、使わないの選択を与える事はユーザフレンドリーではありますが、ユーザを守るためにドコモは強い対応をする、そんな意気込みにも(私は)感じられました。

 

 

バイブで揺れる携帯電話のイラスト

 

更新履歴

  • 2018年8月16日PM(予約投稿)