Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

ファンサイトへの攻撃

流石の国民的グループという所でしょうか。嵐のコンサート予約に際する”攻撃”が問題となっていました。

news.yahoo.co.jp

 

アイドルグループ「嵐」のファンクラブサイトで、「最近ログインしてないのに、ログインしようとしたら『3回ログインに失敗した』というエラーが出てアカウントがロックされてしまっており、24時間ログインできない」という報告が相次いでいた問題で、ジャニーズ事務所が一時的に対策を行ったようだ。

 嵐の2019年コンサートの申し込み期間が始まった1月28日以降、「今日一度もログインしてないのに、『3回ログインに失敗した』というエラーが出てロックされてしまいログインできない」という報告が相次いだ。

 他人が会員が間違えてほかの会員IDでログインを試みて失敗し、ロックがかかった可能性があるほか、「いたずら目的で他人のIDを推測し、適当なパスワードでログインを試してロックをかけ、他人のチケット申込みを妨害しようとしている人がいる」という噂も広がった。

(ヤフーニュース記事より引用)

 

◆キタきつねの所感

嵐の活動休止報告が1/27に発表された際には、ファンサイトへのアクセス集中(天然DOS攻撃)が発生したそうですが、ただでさえプラチナチケット化になっていた嵐のコンサートは、活動休止を受けて更に入手が困難になると言われています。

そんな中で、ログインが不能になる会員が出てきていたのは、心無いファン(チケット販売業者・・・は本人認証がきつくなってかなり減ったと思いますが)による妨害工作によるものとネット上ではささやかれていました。

 

Twitterのログを見てみると、アカウントロックで、結局申込みできなかったといった悲痛な書込みもかなりありました。

f:id:foxcafelate:20190217121550j:plain

気になるのは、適当なパスワードを3回入れてロックさせる攻撃があった(のではないか)とのコメント。この攻撃(ブルートフォース攻撃)が成立する前提として、IDが分からなければなりませんが、以下など、複数のサイトを見た限りでは、

 

ファンクラブ会員番号=ファン数 - じゃないのですか?!(ジャニーズ) - Yahoo!知恵袋

 

ジャニーズ事務所のファンクラブ会員番号(8桁)は、グループ毎の入会順の通し番号(退会すると欠番となる)の様で、容易に推測が出来るどころではないIDと言えます。

つまり、末尾などにチェックデジット(検証コード)が入れられてないと思われますので、ブルートフォース(総当たり)攻撃を仕掛けるのには、ある意味最適な条件と言えそうです。

 

アカウントロックを3回でかける所は優れた不正アクセス対策だと思いますが、一方でパスワードについては、その設定は脆弱な気がします。

 

パスワード再設定の画面でも分かりますが、多くの方がパスワードとしているのは、登録電話番号の下4桁となる様です。数字4桁という状態なので、ブルートフォース(逆総当たり)攻撃によって不正アクセスが成功してしまう可能性は意外と高い気がします。

f:id:foxcafelate:20190217124220j:plain

FAQを見ると、Pay-easyペイジー)経由の場合は8-32桁のパスワードの様です。こちらであればリスクは低くなりますが、

f:id:foxcafelate:20190217124032j:plain

 

嵐のファンクラブ会員は230万人程度いる様ですので、電話番号4桁パスワードの会員はかなり多いかと思います。

ジャニーズのファンクラブ会員数2019ランキングを調査!入会方法や更新の仕方は? | Catch!

 

仮に半分の115万人が振込み会員登録(4桁パスワード)だと仮定し、会員IDの頭から『0000』『0001』『0002』の3つのパスワードを連続施行して230万回のアクセス施行(逆ブルートフォース)をしたとすると、

■115万×0.0001×3=345人

 

の不正ログインが成立する事になります。アカウントロックが解けた翌日にも再施行が出来る(毎日攻撃ができる?)・・・と考えると、個人情報漏えいにつながりかねない脆弱性を残している気がします。

 

今更できないのかも知れませんが、会員IDにチェックデジットを付けるべきなのではないかな・・と思いますが、難しい部分があるのならば、同一IPからのアクセス制限リスクベース認証等、システムやツール攻撃に対してのアクセスをブロックするなど、ログイン監視等がされないと、同様な攻撃は嵐ファンクラブだけでなく、他のグループでも発生してしまうかも知れません。

 

また、上記のTwitterつぶやきにもありましたが、嵐コンサートで正規にコンサートチケットを入手した会員に対しても、コンサート会場への入場前に同じ攻撃がされるとQRコードを表示(ファンクラブサイトへのログインが必要)が出来なくなってしまいます。つまり嫌がらせの攻撃が成功してしまう可能性があるのです。

アカウントロックはパスワードの再設定で回避できる様ですが、会場での入場が大混乱になってしまう、そんな怖さを今回の事件は教えてくれた気がします。

johnnys.jocee.jp

 

 

f:id:foxcafelate:20190217114018p:plain

 

更新履歴

  • 2019年2月17日PM(予約投稿)