Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ディノス・セシールの不正検知

相変わらずディノス・セシールの検知能力は高いのだという事をSecurity Nextの記事を読んで思いました。

www.security-next.com

 

ディノス・セシールは、同社の通販サイト「セシールオンラインショップ」がパスワードリスト攻撃を受けたことを明らかにした。

同社によれば、7月28日に2回にわたって国内のIPアドレスより、本来の利用者とは異なる第三者が不正にログインを試みる「パスワードリスト攻撃」を受けたもの。

今回の攻撃では、22回のログイン試行を確認1件のアカウントでログインを許したという。氏名や生年月日、性別、メールアドレス、保有ポイント、会員ランク、確認メールの送付先などが閲覧された可能性がある。

同社は、今回の攻撃で用いられたIDやパスワードは同社以外で入手されたもので、同社経由の情報流出については否定している。

同社では、不正ログインの被害に遭ったアカウントに対し、ログインできないよう制限。関連する顧客へ連絡を取っている。また攻撃元IPアドレスからのアクセスを遮断した。

(Security Next記事より引用)

 

◆キタきつねの所感

7Payの最終的な見解としては、(ほとんどは)パスワードリスト攻撃だったと記者会見では発言があった様ですが、セキュリティの世界に「たられば」はありませんが、ディノス・セシールに教えを乞うていたら、7Payはサービス撤退まで至らずにすんだかも知れません

 

過去何年にも渡り多くの攻撃を受けているとは言え、22回の不正アクセス段階で不正アクセスを検知できている所から推測すると、ディノス・セシールの不正検知能力は(民間レベルでは)日本有数と言っても良いのかも知れません。

不正アクセスを1件許したという事で、このリリースが出てきた訳ですが、パスワードの使い回しは正常アクセスと区別がつきずらい事から、インシデントを追いかけている私としては、このレベルで抑えられている事は驚異的です。

これだけ検知能力が高い所が頻繁に攻撃を受けるというのは、ハッカーが攻撃手段(能力)のベンチマークとして攻撃をしている可能性が高いのではないでしょうか。

今回の攻撃は国内IPからの攻撃となっています。実際に国内に攻撃者が居たのか、それとも海外からの攻撃なのかは定かではありませんが、海外IPからの攻撃を不正検知して遮断する、という対策だけであったとすれば、22件の不正アクセス試行で済んだとは思えません。つまりディノス・セシールは海外のみならず、国内IPからの不審なログイン試行も、リスクベース的な防衛手段によって検知しているという事に他なりません。

 

この防衛に対する考え方は、過去に発生した不正ログイン事件に起因しているものと思いますが、それにしても、7Pay等、他の不正アクセス事件に比べてインシデントレスポンスに格段に優れている事は疑いようもありません。そうした意味では7Payが2段階認証を行わなくても良いと想定した「モニタリング」防衛策も、ディノス・セシールと同等なものを導入すべきだったのかも知れません。

 

セシールオンラインショップがベンチマークになっている - Fox on Security

ディノス・セシールの会員を責めない姿勢 - Fox on Security

 

 

余談です。この事件を調べていて、気になったのが、ディノス・セシールスタートアップFlattに出資をすると発表した7/11のリリースです。

ディノス・セシールが、世界水準のサイバーセキュリティ技術を誇るスタートアップ企業・Flatt へ出資 ニュースリリース| 株式会社ディノス・セシール

 

株式会社Flattは、企業等にサイバーセキュリティ関連のサービスを提供するスタートアップ企業です。同社は情報セキュリティの知識や技術を競う国内最大のハッカー大会「SECCON2018」で日本勢として初めて優勝した「東京大学理論科学グループ(TSG)」やセキュリティ・IT大手企業出身のメンバーを中心に構成されており、世界水準の非常に高い情報セキュリティ技術を保有しています。
長年通信販売事業を展開する当社にとって「個人情報保護」は、経営上の最重要課題の一つと認識しており、最新のサイバーセキュリティ情勢を注視しつつ、平時における様々なセキュリティ対策や、情報セキュリティ事故発生時の有事対応など、自社事業を運営する上での継続的な各種取り組みを実施しています。今回の出資はこれら自社領域にとどまらず、通販業界全体が抱えるセキュリティ上の課題解決や、さらには世界的レベルでのサイバーセキュリティの発展にも少なからず貢献できると考えており、また、「IoT」「5G」時代におけるサイバーセキュリティ市場の高い成長性や、Flattの優秀な人材や高い技術力等も含めて総合的に判断した結果、同社の資金調達に応じることといたしました。

当社は"老舗"通販企業でありながらも、当社事業とも将来的に連携の可能性があり、さらに社会課題解決につながるような"最先端"の事業領域に対し、今後も積極的な投資を検討してまいります

ディノス・セシールニュースリリースより引用)

 

国内の通販市場、特にカタログ販売はあまり良い業績ではない部分もある様ですが、業界をリードしていく大手企業として、このセキュリティに対する姿勢は大いに見習うべき企業が多いのではないでしょうか。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20190802201035p:plain 

 

更新履歴

  • 2019年8月3日AM(予約投稿)