米国大手のソーシャルニュースサイトRedditが不正アクセスを受け、顧客の情報を漏えいしていたと発表しました。japan.zdnet.com
■公式発表
We had a security incident. Here's what you need to know.
Redditは、システムが侵入を受け、ユーザーデータに不正アクセスされたことを明らかにした。被害に遭ったのは、現在も使われているメールアドレスやソルト付きのハッシュ化されたパスワードなど、2007年のデータベースバックアップに含まれていたデータだ。
Redditは米国時間8月1日、ハッカーがSMSの傍受を通じ、6月14日から18日にかけていくつかの従業員アカウントにアクセスしたとユーザーに報告した。Redditが攻撃に気づいたのは6月19日で、その後に脅威を緩和し、再びこうしたことが起こらないようにシステムとプロセスを改善したという。
Redditでは、コードやインフラへの重要なアクセスポイントの認証に2要素認証を採用しているが、攻撃者の標的になったSMSベースの認証は、同社が考えていたほど「安全ではない」と述べている。
「そう指摘して、全ユーザーにトークンベースの2要素認証に移行するよう促している」
(ZDNet記事より引用)
◆キタきつねの所感
いくつか考えるべきポイントがある記事でした。
まず、意外と早くRedditは不正アクセスを検知している点です。Redditが意外に早く対応している(6/14から考えても5日間で検知)のは、不正アクセスを自動ブロックするまではいかなくても、怪しげなIPあるいは同じIPから不正アクセスの兆候を掴める能力を持っていたという事なのだと思います。こうした能力があるから、この程度の被害で収まったと言っても良いかも知れません。
2点目は、2007年のデータバックアップが漏えいという所。10年以上前のバックアップデータだけ漏えいしたのは何故かな?と疑問がわきます。このデータの格納場所だけセキュリティが弱かったと言う可能性か、何かデータ分析のために不正に認証情報を窃取された従業員がデータを別で持っていた、、推測の域を出ませんが、少しもやもやするポイントです。
とは言え、ソルト付きハッシュ化パスワードの漏洩となっていますので(良いセキュリティ実装をしていた為に)、他サイトで今回漏洩したRedditのパスワードを使って2次被害が出る可能性は少ないのも記事から気づくべきポイントと言えそうです。
3点目は『SMSインターセプト』の部分です。一般論としてSMSよりトークン、または生体認証の方が安全性が高いと言えそう、とは思っている事が前提ですが、どこを攻撃されて破られたのかによってRedditの言い分、
攻撃者の標的になったSMSベースの認証は、同社が考えていたほど「安全ではない」と述べている。
については、見方が分かれる気がします。
SMSの2段階認証は、確かNISTのDraftで安全性に疑問が出されていたかと思います。
japan.zdnet.com
その手法については、SMSの送信側(通信キャリア、元システム)又は、受信側(今回のケースでは元従業員の携帯端末)が侵入されていて、情報の窃取が可能になっているか、通信経路で傍受されているか、クローンSIMカードが存在してしまっている、正規ユーザを偽って携帯を無くしたとして、別SIMに電話番号を移動する等も考えられますが日本での現実性は低い気がします。
あるいは、フィッシングサイトに正規ユーザ(従業員)を誘導し、不正窃取したSMSの正規のOTPコードを使って、Redditに正規ユーザを成りすましてログインする方法(いわゆる中間者攻撃)も考えられます。
SIMを使った別手法としては、『SIM Swapping』もあり、キャリア移動をする手法を悪用してパスワードをリセットする手法について7月にMotherboardが記事を出していましたので、参考までに添付します。
motherboard.vice.com
フィッシングによる中間者攻撃あるいはマルウェア端末、SIM Swapping辺りが個人的には怪しいと思うのですが、前者であれば従業員の携帯管理体制あるいはフィッシングメールを踏んでしまう部分についても考えるべきだと思います。
後者であるならば、日本の通信キャリアはしっかりしている(と信じている)ので、日本での攻撃の可能性はそんなに無いのではないかな?と思います。とは言え、Reddit等のサービスプロバイダーは、パスワードリセット部分が攻撃される可能性が高いという認識で、システム設計を見直すのも重要かも知れません。
最後に、、、FIDOのU2Fの記事が先日も出ていましたが、トークンキーも良い手段ではありますが、中間者攻撃(フィッシング)には弱い部分もあるので、
www.gizmodo.jp
FIDOも検討の余地があるのではないでしょうか。
www.sbbit.jp
更新履歴