セシールオンラインショップへのパスワードリスト攻撃がまた出ていた様です。
www.security-next.com
ディノス・セシールは、同社の通信販売サイト「セシールオンラインショップ」がパスワードリスト攻撃を受け、一部アカウントで不正ログインが発生したことを明らかにした。
同社によれば、3月17日に中国および国内それぞれ1件のIPアドレスより、本来の利用者とは異なる第三者が不正にログインを試みる「パスワードリスト攻撃」が同サイトに対して行われたという。
当初中国から約1000件のログイン試行があり遮断したが、直後より国内のIPアドレスより同様の攻撃が発生。あわせて2929回のログインの試行が行われた。
(Security Next記事より引用)
■公式発表 弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて
◆キタきつねの所感
ディノス・セシールのニュースリリースを見ていると、サイバー攻撃に対する同社の強固なポリシーを感じます。多くの企業にとって、その姿勢、セキュリティ体制は見習うべき所が多いのではないでしょうか。
言い方が悪いのですが、同様な攻撃を受けてリリースを出してない企業の方が、自分の感覚では多い気がします。
昨今はパスワードリスト攻撃は発表されてないだけで、多くの会員サイトを抱える企業で検知されているものと思いますが、ディノス・セシールのリリースを並べてみると、攻撃が成功してもそれほど大きな成果(個人情報又は不正ポイント交換等)を得られない事は分かっているであろう、海外からの攻撃を頻繁に受けている事がわかります。
2016年までの事件をざっと拾ってみました(一部もれているかも知れませんが・・)が、10件確認できました。
この攻撃者が同一であるとは断言できないまでも、攻撃するIPアドレスがそう多くない事は分かります。また一定時間で攻撃が行われ、顧客情報の不正閲覧程度の被害が多く、顧客情報が不正にダウンロードされたり、顧客情報の一部改ざんまで影響を受けた事件は、2件しかない事が分かります。
これはディノス・セシールの防御が優れている事を意味しているのですが、併せて2つの事が読み取れます。
①パスワードリスト攻撃は完全には防げない
②小規模の攻撃(50件以下の不正試行)が多い ※8割
①については、今更言うまでもありませんが、一般ユーザはパスワードの使いまわしをしており、いくら啓蒙しても使いまわしている顧客がいるという現状から、不正アクセス試行が一部成功してしまう可能性があるという事を示唆しているのだと思います。
ユーザ啓蒙が意味が無いとは言いませんが、パスワードは使いまわしされてしまう事は完全には防げない(別な手段を考える必要がある)と言えます。
②については、事件を並べてみると、その特徴が顕著に現れている気がします。これだけ防御がしっかりしている企業に継続的に攻撃をするハッカーが居る。それが何を意味するか?と想像するに、『ハッキングツールのテスト』ではないでしょうか?
Security Nextの記事を読むと、それを伺わせる部分がありました。
いずれもアクセス元はいずれも一般的なブラウザを使用しておらず、ログイン試行の実行間隔なども同一であったことから、プログラムなどを用いた同一の攻撃者による犯行と見られている。
(Security Next記事より引用)
過去の事件もほぼ同じ傾向があるのではないでしょうか?この推測が正しければ、海外(おそらく中国)のハッカーは、日本企業へのハッキング(パスワードリスト攻撃)ツールの機能テスト先として、少規模の攻撃をディノス・セシールに行って、その結果が良ければ、別な日本企業(ECサイト)を攻撃している、、、そんな風にも読み取れます。
そう考えると、ディノス・セシールの事件リリースを”大した被害無かった”と見逃すのではなく、自社の防御に対する警告と捕らえて、パスワードリスト攻撃(※海外IP>ブロック>国内IP切替)への警戒を強める事が必要なのかも知れません。
参考:
foxsecurity.hatenablog.com
更新履歴
