格安SIMサービスを提供しているmineoの運営会社が不正アクセスを受けていた事がかかれていました。
japan.cnet.com
■公式発表
eoIDに対する不正なログインについて|プレスリリース|ケイ・オプティコム
調査の結果、ケイ・オプティコムへのハッキングによるeoIDの流出ではなく、第三者がユーザーIDやパスワードを不正に入手してログインを試みる「パスワードリスト攻撃」によるものと判明したという。
不正ログインが確認されたユーザー数は、8月15日21時時点で6458件。閲覧された可能性のある情報は、住所、氏名、性別、電話番号、生年月日、メールアドレスなどで、口座情報やクレジットカード情報については、マスキング処理を施していたことから流出の可能性はないという。
(CNET記事より引用)
◆キタきつねの所感
6,458件の個人情報漏えい(の可能性)というのは、最近の事件としては少ない方かも知れません。パスワードリスト攻撃は、(攻撃の最初は)正規ユーザのログイン試行と区別がつかない事から、防衛側はそれなりの対策(2要素/段階認証やリスクベース認証等)を取ってないと、不正アクセスは成功してしまう事が多いので、被害を受けるのも仕方が無い部分がある気がします。
とは言え、よく時系列を見てみると、、、、
1.経緯
昨日(8月15日)、特定のIPアドレスから、eoIDへ不正にログインを試みる事象を確認いたしました。
*不正ログインの発生期間8月13日(月)22時05分から8月15日(水)21時00分まで
弊社ではこのIPアドレスからのログインをすべて遮断するなどの緊急措置を実施いたしました。
(公式発表より引用)
不正ログイン発生を2日間検知ができてません。これはサービス運用側として、リスト型攻撃が起きるかも知れないという事に対して、準備をしてなかった事に他なりません。特定のIPアドレスから6,000を超える不正アクセスを許した=”リスト型攻撃が想定外”である事が間違いな気がします。
例えば一生懸命アクセス監視(SOC含む)をする事で検知する手もあるかと思いますが、リスト型攻撃の場合、ログイン試行の失敗もそれなりに出るはずです。そこをトリガーにした検知方法も考えられるでしょう。また、そもそも同じIPからの短期間に一定回数以上アクセスがあるのがオカシイ訳ですから、そうした検知ロジックを考える(あるいは最初からブロックする)のも有効かと思います。
勿論、こうした事を人力だけで対応するのは運用側の知見や体制の問題もあるかと思います。2要素/段階認証でOTP(SMS)や生体認証を使うのは追加コストを考えると多くの事業体にとって難しいのかも知れません。
だとすれば、SOCやリスクベース認証といった外部の力を借りる事で、被害を最小限にするセキュリティ設計思想に舵を切る事も必要なのかも知れません。
それすら出来ない(気合と根性で運用担当はがんばれ!)と言うサービス事業者も実は多いかも知れません。
ですが、少なくてもディノス・セシールはリスト型攻撃に対して真摯に向き合った対応をしてきています。
サービス事業者として出来ない訳ではないのは、彼らのリリースを見るとよく分かります。(それだけ攻撃を受けている事もあるのでしょうが)こうした姿勢を参考にしてもらいたいものです。
foxsecurity.hatenablog.com
ここまで書いてきて、少し疑問が出てきたので調べてみました。。。。mineoがID/パスワードの他社と使いまわした事から今回の被害を受けた・・という公式発表なのですが、他社のリスト型攻撃と差分があるのが、実は初期eoIDはサービス提供者側から提供されている事です。(※被害を受けたサービスで多いのは、IDを登録メールアドレスに設定する場合)
サービス提供側がIDを振っているという事は、他社で漏洩したIDとは違う事になるはずです。では、何故・・・リスト型攻撃を受けてしまったのでしょうか?
そのヒントがmineoのFAQにありました。
他社のIDと同じにするには・・・初期eoIDを例えばメールアドレス(又は例えばfox@gmail.comであれば@より前のfox部分)に変更する事を、mineoユーザ側が実施した事が考えられます。
これならリスト型攻撃が成立するかと思います。
4.お客さまへのお願い
eoIDをご利用のお客さまは、不正ログインを防止するために以下の点にご注意ください。
(1)他社サービスとは違うパスワードを設定する。
(2)第三者が容易に推測できるパスワードを使用しない。
(公式発表より引用)
この推測が成り立つのであれば・・・公式発表にあるパスワード使いまわし(容易に推測できないものを使う)対策だけ、というのはmineoの場合は当てはまらないのではないでしょうか。
IDの部分が他社と違っており容易に推測できないものであったので、この運用のままならば、実はこのリスト型攻撃は防げた可能性が高いと思います。
パスワード啓蒙も重要ではありますが、初期eoIDを変更させない、あるいは変更するにしても、他社で使われているIDを使わせない(※過去に漏れたIDのDBにぶつけて変更登録時に弾くのが最も効果が高いとは思いますが、結構面倒でもあるので、次善の策としては・・・啓蒙でしょうか)対策にも、力を注ぐべきではないでしょうか。
リスト型攻撃は、IDとパスワードの運用をしている以上、今後も定期的に様々なサービス事業者が直面する課題です。サービス事業者側としては、”リスト型攻撃を想定内”として対応をしていくべきだと、強く思います。
更新履歴