Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ディノスオンラインショップ への不正アクセス事件を調べてみた。

先日12月7日にディノス・セシール不正アクセスを受けた件を発表していました。この件を調べてみると、実はセシールさんは、以前から何度も同様な不正アクセス被害を受けていたので、少し調べてみました。

ここ数年の事件発表の多さは、ある意味ディノス・セシールさんの検知能力の高さが証明されていると思いますが、やはり過去の事件を受けてセキュリティ体制を向上させている事が、(攻撃を敏感に気づく訳ですので)大きいのだろうと思います。

 

■(今回発表があった)インシデントタイムライン(2017年12月7日)

日時 出来事
2017年11月4日~5日 同一セッションからID(メールアドレス)・パスワードを使い2名の顧客に対してなりすましによる不正ログインが発生
その他、同社の顧客以外のメールアドレス・パスワードを利用したログインが3回試みられた
2017年11月4日 (顧客Aに対し)登録情報変更があった旨をメールで通知
2017年11月5日 (顧客Bの)クレジットカードの注文が、クレジットカード悪用の疑いでキャンセル処理された
2017年12月3日 不正ログインされた顧客Aの問い合わせで不正アクセスが判明
2017年12月5日 追加調査にて(顧客Bに対する)不正アクセスを確認
2017年12月7日 事件を公表

弊社「ディノスオンラインショップ」への“なりすまし”による不正アクセスについて

 

以下、それ以前の不正アクセスに関するリリース

 

インシデントタイムライン(2017年9月25日)

日時 出来事
2017年9月22日
 14時13分~14時42分
 16時54分~17時09分
同一のIPアドレス(日本国内)からID(メールアドレス)・パスワードを使った30回の不正アクセスがあり、6件が不正ログインされて、顧客情報6件が不正に閲覧され、2名分の顧客情報が改ざん(第三者のクレジットカード情報を登録・削除、セシールポイント1600ポイントをディノスeクーポン1600円分に交換)された
2017年9月22日 不正アクセスが判明
・顧客情報は外部に流出してないことを確認済
・ID/パスワードは外部で不正取得されたものと思われる
2017年9月25日 事件を公表
 インシデントタイムライン(2017年9月14日)
日時 出来事
2017年9月14日 同一のIPアドレス(中国)からID(メールアドレス)・パスワードを使った12件の不正アクセスがあり、1件が不正ログインされて、顧客情報1名分が不正に閲覧された
・顧客情報は外部に流出してないことを確認済
・ID/パスワードは外部で不正取得されたものと思われる
 
インシデントタイムライン(2017年8月23日)
日時 出来事
2017年8月22日
 2時21分~31分
同一のIPアドレス(日本国内)からID(メールアドレス)・パスワードを使った不正アクセスがあり、1件が不正ログインされ、顧客情報1名分が不正に閲覧された
2017年8月22日
 11時頃
不正アクセスが判明
・顧客情報は外部に流出してないことを確認済
・ID/パスワードは外部で不正取得されたものと思われる
2017年8月23日 事件を公表

  弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて

 

インシデントタイムライン(2017年7月31日)

日時 出来事
2017年7月31日
15時01分~15時02分
同一のIPアドレス(日本国内)より、ID(メールアドレス)・パスワードを使った不正アクセスが11回行われ、1件が不正ログインされ、顧客情報1名分が不正に閲覧された
2017年7月31日
16時頃
不正アクセスが判明
・顧客情報は外部に流出してないことを確認済
・ID/パスワードは外部で不正取得されたものと思われる
2017年7月31日 事件を公表

  弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて

 

インシデントタイムライン(2016年9月5日)

日時 出来事
2016年9月3日
13時45分~13時52分
同一のIPアドレス(中国)から30回の不正アクセスが行われ、7件がログインされ5名の顧客情報が閲覧された
2016年9月3日
16時頃
不正アクセスが判明
・顧客情報は外部に流出してないことを確認済
・ID/パスワードは外部で不正取得されたものと思われる
2016年9月5日 事件を公表

  弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて

 

インシデントタイムライン(2016年9月1日)

日時 出来事
2016年8月31日
22時36分~50分
同一のIPアドレスより、ID(メールアドレス)・パスワードを使い50回の不正アクセスが行われ、8件がログインされ顧客情報が閲覧される
2016年9月1日
10時頃
不正アクセスが判明
・顧客情報は外部に流出してないことを確認済
・ID/パスワードは外部で不正取得されたものと思われる
2016年9月1日 事件を公表

  弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて

 

◆キタきつねの所感

以前もディノス・セシールさんが攻撃された記事を見たな、、、という印象でしかありませんでしたが、こうしてもう一度調べてみると、恐ろしく攻撃を受け続けていることが分かります。『パスワードリスト攻撃』(=パスワードの使いまわし問題)が未だに解決してない問題であるという事がはっきりと分かります。

そんな中、ディノス・セシールさんの(少なくてもここ2年の)防御体制については、ほぼ(個社が取れる対応として)ベストに近いのではないでしょうか?時系列(リリース内容)を見る限り、当日には不正検知をして封じ込めをしていますし、不幸にも何件かは個人情報の閲覧までたどり着かれていますが、不正利用までされているケースは非常に少ない様です。

また、今回12月の事件では、攻撃者はクレジットカードの悪用をしようとしていますが(別に不正入手したクレジット情報を故意に登録して、気づかれにくい形で商品購入に使おうとしたのかと推測します)、それも検知していますので、不正検知がうまく機能している(リスクベースでしょうか?)ようです。個社のセキュリティ対策は、あまり公開されることはないかと思いますが、有効な対策をされているようですので、機会あればそのエッセンスをお聞きしたいものです。

 

ですが、重要な事は、ここまでディノス・セシールさんがたどり着くまでは、当然かなり被害を受けてきたからだと思われる点です。ニュースリリースは見つかりませんでしたが、過去に多額の被害を出した事件を経験されていました。以下、2013年と2015年の記事を参考まで貼っておきますが、こうした攻撃がまだまだ続いているという事を考慮して(自社のコトと捕らえて)セキュリティについて考える事が、EC企業には求められているのだと思います。

 

news.livedoor.com

www.itmedia.co.jp

 

 

更新履歴

  • 2017年12月10日 PM 新規作成(予約投稿)

f:id:foxcafelate:20171210112642p:plain