Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

ユニクロのセキュリティへの意識

ユニクロの46万件の不正アクセス事件を遅まきながら取り上げてみます。事件発表から少し経ちましたが、流出件数が大きな割には、追加情報(記事)が出てこない印象です。

www.nikkei.com

 

公式発表 

「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて(ファーストリテイリング)

「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて (ユニクロ)

「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて(GU)

 

ユニクロを運営するファーストリテイリング13日ユニクロとGU(ジーユー)のネット通販サイトで不正アクセスがあったと発表した。現時点で不正ログインされたアカウント数は46万1091件で、住所やメールアドレスなど個人情報の一部が流出した可能性がある。アカウントのパスワードは同日に無効化したという。

同社によると、今回の不正ログインは4月23日から5月10日にかけて確認。あらかじめ用意したIDとパスワードの組み合わせでログインを試みる「リスト型攻撃」という手法で行われた

不正ログインにより、顧客の名前や住所、電話番号、クレジットカード情報の一部などが閲覧された可能性がある。現時点では情報流出による被害は確認されていないという。

日経新聞記事より引用)

 

◆キタきつねの所感

各社の記事の差分からパズルのピースを組み立てるタイプなのですが、

 『個人情報漏洩の可能性があります』『46万件です』

 『でもパスワードリスト攻撃だったのでユーザ側も悪いんです』

という風な形でニュースリリースも、そして世論も思っている様で、これで完結しそう(追加記事が出てこない)な雰囲気があります。ある意味ユニクロの(危機管理)広報戦略が優れていたともいえるのでしょうが、私はユニクロ側のセキュリティ体制にはいくつもの突っ込みどころがあると見ました。

 

 

まず最初に思ったのが、トップページに何のお知らせもない点です。

f:id:foxcafelate:20190517205236p:plain

 

公式リリースはファーストリテイリングのサイトにしかありません。 

※5/20修正 見落としていた様です。申し訳ありません。ユニクロ・GUサイトにもリリースが出てました。(Autumn Good様 ご指摘ありがとうございました)

f:id:foxcafelate:20190517210914p:plain

 

利用ユーザに対する告知としては、影響があるユーザに個別にメールしたのだとしても、問題があるのではないでしょうか?いたずらに不安を煽るのはどうかと思いますが、メールを見てないでユニクロ・GUのサイトにアクセスした人は、突然ログインできない(パスワードリセットの為)状態となるのは、ユーザフレンドリーな(大企業の)対応ではない気がします。

 

ログイン画面を見ると、パスワードリスト攻撃が発生した事を前提とした様な、目立った注意喚起が出てきますが、事件を受けての公式リリースへのリンクなどは見当たりません

f:id:foxcafelate:20190517182338p:plain

 

 

 

因みに、ユニクロ/GUのパスワードポリシーは、

f:id:foxcafelate:20190517212531p:plain

半角英数字8文字以上20文字未満となっていました。8文字以上は良いかと思うのですが、『全半角』でも無く、『記号』も入らないパスワードの強度はかなり低いのではないでしょうか。

リスト型攻撃という事ですので、事件の本筋とは違いますが、総当たり攻撃にも脆弱性を持っているかも知れないパスワードポリシーと言えるかも知れません。

 

 

5chとヤフーニュースのコメントをざっと見たのですが、以下はまさに同感でした。

f:id:foxcafelate:20190517213131j:plain

 

(3)対応

お客様から「身に覚えのない登録情報変更の通知メールが届いた」というお申し出があり、調査を進めたところ、2019年4月23日から5月10日にかけて、不正ログインが試行されたことを確認しました。現在は、不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化しております。個人情報が閲覧された可能性のある461,091件のユーザIDについては、同年5月13日にパスワードを無効化し、パスワードの再設定のお願いをメールで個別にご連絡しております。

(公式発表より引用)

 

ユニクロは、4月23日~5月10日までの18日間46万件以上の不正アクセス試行を検知できてない。これはかなり問題だと思います。

 

単純計算だと、

 46万件÷18日=約2.5万件の不正アクセス試行の成功/日

となります。この期間はGW(10連休)を含みますのでネットアクセスの異常値を気づきにくかったという要素もあったのかも知れません。あるいはIT部門もお休みの方が多くて監視体制が薄かったとも考えられますが、不正アクセスに失敗したログイン試行もあるはずのですので、想像では100万件以上の(不正)アクセス試行がされていたと思います。

 

長期休暇明けに顧客からクレームを受けて初めて異常に気づく。世界的企業であるユニクロのセキュリティ体制が問われても仕方が無いのではないでしょうか?

 

※5chの投稿を見ていたら、同じようにセキュリティ体制に疑問を持つ方がいたようです。

f:id:foxcafelate:20190517214400j:plain

 

一方で、ユニクロは、事件を受けての公式発表の中で、

 

(ご参考)「リスト型アカウントハッキング(リスト型攻撃)」に関する総務省報道資料
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html

(公式発表より引用)

 

と、平成25年の総務省のパスワードリスト攻撃への対策資料を挙げて、パスワードの使いまわしNG、パスワードの定期的な変更などを推奨しているのですが、少し資料が古いのは別にして、確かに対策はその通りと思って資料を見ていたのですが・・・

 

f:id:foxcafelate:20190517215113p:plain

巨大なブーメランの様に思えました。ユーザへの啓もうという部分よりも、サービス提供(ユニクロ・GU)側がやらなければならない対策が多く記載されている様にしか見えません。アカウントロック、特定のIPアドレスからの通信の遮断(の遅れ)、普段とは異なるIPアドレスからの通信の遮断・・・すべてユニクロ・GU側が後手に回った(対策してなかった)為に、被害が46万件に達したのではないでしょうか?

 

 

私は、ユニクロ・GUのセキュリティ体制構築(強化)への取り組みが意欲の低さを、別なページを見ていて感じました。それが(ユニクロ・GU)オンラインショップでのセキュリティについて、というFAQページです。

f:id:foxcafelate:20190517182540p:plain

TLS通信しているから安全というのは、そこだけを見ればその通りなのですが、、、その他のセキュリティ項目は残念ながらFAQには書いてませんでした。(そこしかセキュリティは考えて無い?

 

 

余談ですが、リリースを追いかけていて気付いたのですが、ユニクロとしては今年2件目の個人情報漏洩事件になるんですね。1月に別な個人情報漏洩事件を発表してました。

www.fastretailing.com

この度、弊社の商品開発や販売促進にご協力いただいている国内外の社外協力者の個人情報を管理するWebサイトのURL、ユーザーIDおよびパスワードがインターネット上に公開され、上記協力者の一部である804名(日本448名、海外356名)の個人情報が流出した可能性があることを、2019年1月15日に確認しました。

(1月の公式発表より引用)

 

業務(社外協力者)用の本来クローズ運用であるべきWebサイトが外部からアクセス可能な設定になっており、そこから個人情報が漏洩したという事の様ですが、この事件もパスワードリスト攻撃だった可能性があるのではないでしょうか?

もしそうであるならば、この時よく分析していれば、今回の事件は防げた、あるいは被害が拡大する前に検知できたのかも知れません。

 

 

 

f:id:foxcafelate:20190517220755p:plain

 

更新履歴

  • 2019年5月17日PM(予約投稿)
  • 2019年5月20日PM ユニクロ・UGのリリースを見落としていた部分を訂正