Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ディノス・セシールを学ぶ

パスワードリスト攻撃への対策という点では、ディノス・セシールに適う企業は無いのではないか、そんな思いを改めて認識したニュースでした。

www.security-next.com

 

■公式発表 弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて

 

 同社によれば、9月22日に国内のIPアドレスより、本来の利用者とは異なる第三者が不正にログインを試みる「パスワードリスト攻撃」を受けたもの。17回のログイン試行があり、1件のアカウントでログインを許した。

ログインされた利用者は、氏名や生年月日、性別、保有ポイント、登録クレジットカード名、カード番号の下4桁、カード有効期限などが閲覧された可能性があり、さらに登録されているクレジットカード情報が削除されたという。

(Security Next記事より引用)

 

◆キタきつねの所感

セシールオンラインショップ」として、2019年に入って4回目のパスワードリスト攻撃の発表です。改めて調べてみると、2016年が2件、2017年が5件、2018年が2件、2019年が4件のパスワードリスト攻撃を起因とすると被害報告リリースを出しています。

参考: 

foxestar.hatenablog.com

 

今回の事件を受けてのリリースを見ると、最近の傾向として海外IP(主に中国)からの不正アクセス試行ではない事が伺えます。つまり海外IPを弾くという(単純な)不正アクセス対策は困難になりつつあり、国内からの正規アクセス偽装をどう防ぐか、あるいはどうウォッチして止めるかが重要になってきていると思います。

 

「登録されているクレジットカード情報の削除」も気になる所ですが、、不正にカード登録ができないかを確かめたのかな?と思います。今回閲覧された可能性がある個人情報では、カード情報がマスキング(下4桁だけ)されており、この情報だけではカード情報として不正ができるものではないので、単に個人情報が漏洩した可能性があるという被害内容となります。

件数も1件なので、推測になりますが、攻撃(ハッカー)側は、他のECサイトを攻撃する前に、攻撃のテストをしていた、その中で正規のクレジットカード登録を削除して、不正なクレジットカードを登録できないか(=不正に入手したカード番号から不正ショッピングが出来てしまう可能性が出てくる)と試したのではないかと推測します。

 

不正アクセスに対しての検知(防御)能力が高いディノス・セシールでも防ぎきれない、それがパスワードリスト攻撃(パスワードの使い回し)です。しかし、国内のEC事業者には、もっと対策がされてない所も残念ながら多々あります。

 

ディノス・セシールの対応について、外から見える部分を改めて確認してみると、、攻撃を定期的に受け続けている「セシールオンラインショップのログイン画面」では、パスワード管理への注意喚起ログイン入力のすぐ上に掲載されています。(※2017年の注意喚起)

f:id:foxcafelate:20190928071805p:plain

 

 

内容はシンプルですが、ユーザへの啓蒙という意味では、自社ECサイトに名前を置き換えて自社ユーザに告知するだけでも、一定の効果があると思います。

 

【重要】 お客様情報<パスワード>の管理には十分ご注意ください。

f:id:foxcafelate:20190928072133p:plain

 


よく考えてるな・・と思いながら、セシールのサイトを拝見していたのですが、1点だけ、新規会員登録ページが非常に気になりました。(※パスワード桁数8-15、英数両方必要・・というのは比較的強固な要求で良いと思いますが)

 

f:id:foxcafelate:20190928071849p:plain

 

「秘密の質問」は如何なものかと思います。

 

 ※私の見解は以下参照下さい

foxsecurity.hatenablog.com

 

 

秘密の質問の選択もありきたりです。

f:id:foxcafelate:20190928072027p:plain

 

これだと、SNS(掲載情報)へのソーシャルエンジニアリングで、メールアドレスと併せて秘密の質問をハッカーが入手できてしまう懸念があります。

※非常に検知能力が高いセシールでも、ここを攻められると正常な試行と区別がつきずらくなるのではないでしょうか?

 

 

気になったので、「ディノスオンラインショップ」もみて見たのですが、意外と差分があるものですね。。。まず、パスワード使い回しに対する注意喚起は、ログインページにはありませんでした。(※ディノス側はあまり攻撃を受けてないので問題ないかも知れませんが)

f:id:foxcafelate:20190928072342p:plain

 

新規会員登録のパスワード部分ですが、桁数8文字以上は同じですが、英数組み合わせ(※両方必須とは言っていない)ですので、パスワードの強制ルールに差分がある様です。

f:id:foxcafelate:20190928072251p:plain

 

良い点を言えば、「秘密の質問」はディノス側では設定不要の様です。

 

 

折角良い取り組みをしているのにもったいないなぁ・・・。

 

セキュリティコンサル(本業)視点でもしコンサルした場合、セキュリティポリシーの差分について(特にパスワード設定)、指摘(推奨)事項にするかと思います。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20190928105043p:plain


 

更新履歴

  • 2019年9月28日AM(予約投稿)