Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

エアーカナダの不正アクセス

エアーカナダのモバイルアプリが不正アクセス被害を受けた可能性があるようです。

www.itmedia.co.jp

■公式発表

 Notice to Air Canada Mobile App users

 

 カナダの航空会社Air Canadaは8月28日、同社のモバイルアプリに対する異常なログインの挙動が検出され、ユーザー2万人のパスポートなどの情報が不正アクセスされた可能性があると発表した。事態を受けてモバイルアプリの全アカウントにロックをかけ、全ユーザーにパスワードのリセットを促している。

 同社の公式サイトに掲載された情報によると、異常なログインの挙動は8月22~24日にかけて検出され、モバイルアプリの登録ユーザー約170万人のうち、およそ2万人の個人情報が不正アクセスされた可能性があることが分かった。

(IT Media記事より引用)

 

◆キタきつねの所感

はっきりと事件原因が明示されてないのですが、エアーカナダのアプリが侵害を受けたのは・・・『パスワードリスト攻撃』ではないでしょうか。

公式発表を見ると、8月22日~24日不正アクセスを受けているようです。エアーカナダ側が、ログインの不正動向を検知するのに3日程度かかった事になる訳ですが、この期間は、アクセス件数が日常的に多かったであろう航空会社のアプリだけに、この程度かかるのかも知れません。

 

事件を受けてのユーザへの告知を見ると、パスワードリセットを推奨していますので、ここからもパスワードリスト攻撃であった可能性は高いかと思います。

f:id:foxcafelate:20180901184019j:plain

アプリケーションにはパスワードが保存されてなかった様ですし、170万人の会員の内、2万人が不正閲覧・・という事は、会員全体の1%程度ですので、やはりパスワードリスト攻撃の可能性が高そうです

日本でANAJALの会員サイトが不正アクセス被害を受けたのはだいぶ前ですが、会員サイトでIDとパスワードだけで保護している所は、エアーカナダと同じような脆弱性潜在的に抱えているのは間違いありません。

 

データ漏洩について、例えばGemaltoの統計データ(Breach Level Index)では、2013年から全世界で漏洩したデータは、、

f:id:foxcafelate:20180901184729j:plain

97億件以上であると公表しています。世界の人口は2017年で76億件ですので、、単純計算では1人1件以上のデータが何らかの形で漏洩しているという事になります。

 

IPAを含め、多くのセキュリティ専門家が、パスワードの使いまわし(による被害)に大して警鐘を鳴らしていますが、

 

STOP! パスワード使い回し!キャンペーン2018

 

残念ながら、多くの人はパスワードを使いまわしし、そして気づいてない間に、どこかで漏洩している可能性が高いのが現状です。ユーザ側も、そして会員サイト等のサービスを提供する事業側も、その前提で被害を受けないように自己防衛していく事を、今一度考える必要がありそうです。

 

 

カナダの国旗

 

更新履歴

  • 2018年9月1日PM(予約投稿)