2017年11月11日、フジテレビが運営するチケット販売サイト「フジテレビダイレクト」にてリスト型攻撃による不正ログインが発生し、チケットの不正購入が行われていたことを発表しました。ここでは関連情報をまとめます。
インシデントタイムライン
日時 |
出来事
|
2017年11月7日 20:00~
11月9日 8:30頃
|
リスト型攻撃により断続的になりすましによる不正ログイン、チケットの不正購入
|
(不明)
|
システムを提供するぴあ社から連絡があり事件が発覚 |
公式発表
原因
- 外部で不正に取得されたと思われるID(メールアドレス)とパスワードを使ったなりすまし(リスト型攻撃)
事件の状況
- 2017年11月7日(火)20:00~11月9日(木)8:30頃にかけてリスト型攻撃による不正アクセスを受け、不正ログイン181件、内 個人情報を改ざんされた会員76件、内 チケットの不正購入がされた可能性がある会員12件(*)
(*) フジ主催のイベントのチケット12件がコンビニ等で引き換えられていた(被害額は非公表)
- 閲覧された可能性がある個人情報
※クレジットカード情報は一部表示(マスキング)されていたため漏えいはない
現時点での対応策
- 被害を受けた可能性のある会員IDのログインパスワードを初期化
- 不正購入された可能性のある会員IDのロック
- フジテレビダイレクト会員へのパスワード変更促進メールの配信
◆キタきつねの所感
パスワードリスト攻撃を受けて、なのでなかなか防ぎきれない事件かと思います。この手の事件は定期的に発生していますが、ユーザ側のパスワード管理(使いまわし)が一次的な原因ですので、ユーザ啓蒙が重要です。とはいえ、既に多くのパスワードリスト攻撃を受けた事件が発生しているわけですので、サイト運営側としては追加のセキュリティ対策が必要ではないでしょうか。(2段階認証、多要素認証、3Dセキュア等々)
気になる所で言えば、「約1日半」、ぴあ社からの連絡を受けるまで運営(フジテレビダイレクト)側が攻撃を気づいてないことでしょうか。パスワードリスト攻撃の場合、不正ログイン181件が成立する前に、相当数のログインミスが出ているはずなので、これを監視できていれば、100%防ぐことは無理でしょうが、被害が軽減できた可能性は高いかと思います。
フジダイレクトのホームページ(お知らせ)を見ていると、ココも怪しい気がします。
【重要】クレジットカード決済時のセキュリティコード入力に関するお知らせ
11月10日付けで、クレジットカード決済時にセキュリティコードの入力を求める様にルールが改訂されています。推測になりますが、つまり今までは「セキュリティコード入力」の必要なく、ログインさえしてしまえば、(登録された)クレジットカードでの商品購入が出来てしまっていたのではないでしょうか?関連記事を見ますと、商品のコンビニ受け取り(不正)が成立していますので、不正アクセス被害を受けた時のフジテレビダイレクトの運用は”脆弱であった”と考えられます。
各社の関連記事でも報じられてませんし、「本件に関して現時点で取られている対応について」(対策)のところにも載ってませんので、記者発表時には意図的に「パスワード使い回し」以外にあったかもしれない、運営側の事件原因を隠したのではないかと疑われても仕方ないのではないでしょうか?
フジテレビダイレクト社と同じ様に「ぴあ」のシステムを使っている所で、同様な運用(セキュリティコード入力不要で商品購入が可能)をしている所があるのであれば、同じ手口で被害を受ける可能性もあるのが気がかりな所です。
ぴあ社のシステムは今年4月にも「B.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセス」(Apache Struts2脆弱性)被害を受けています。この事件と今回の不正アクセスは原因は違いますが、外注先である「ぴあ」社まかせ、というサイト運営側の意識では攻撃者の格好の標的になりかねない、運営側もセキュリティ対策をしっかり考えなければならない、そう強く感じます。
※今回の事件とは直接関係は無いのですが、フジテレビダイレクトの新規利用者登録のページを見ますと、「秘密の質問/答え」が脆弱だと思います。
質問は3つしか選択肢選べません。不正アクセスの後に、ここ起因で攻撃される可能性を感じました。(ぴあの標準でしょうか?)
参考:ITメディアエンタープライズ
www.itmedia.co.jp
関連ニュース記事
更新履歴