Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

四国電力への不正アクセス

四国電力の会員制サービスがパスワードリスト攻撃の被害を受けたようです。

r.nikkei.com

 

■公式発表

 よんでんコンシェルジュへの不正アクセスによるポイント交換について

当社の会員制Webサービス「よんでんコンシェルジュ」において、昨日、三者が何らかの方法で入手したお客さまのIDとパスワードを使って「よんでんポイント」を他社ポイントへ不正に交換した疑いがあことが判明しました。このため、よんでんポイントの交換サービスを一部停止して調査を行った結果、他社ポイントへの不正交換149名のお客さま、合計127,430ポイントに及ぶと推定されるとともに、ID・パスワードが当社から漏えいしたものではないことを確認しております。
(公式発表より引用)

 

◆キタきつねの所感

またパスワードリスト攻撃の事件ではありますが、インフラ基盤を担う電力会社の会員制サイトとなると、電力供給を担う基幹システムではありませんが、別なシステムは大丈夫かな?と思ってしまいます。

 

事件の経緯を見ると、 

23日午前に顧客から「身に覚えのないポイント交換がされている」との連絡があり発覚。サービスは7月末時点で四国4県を中心に約22万7千人が登録している。8月22日夕から23日夕にかけ、登録者数を上回る数の不審なアクセスがあった

日経新聞記事より引用)

お盆明けの平日であり、監視体制を薄い瞬間を狙った攻撃という訳でもないようです。しかし攻撃を受けた数量から考えると、22万件以上の不正ログイン試行があった事になる訳であり、それを運営監視側が気づかないのは、、、「攻撃を受ける」事をまったく想定してない運用体制だと考えられます。22万件で、149件の不正ログイン成功というのは、非常に成功率が低いのですが、四国電力側が顧客からの連絡があるまで気づかない=つまり自社で検知できなかった・・・事から考えると攻撃が成功するのは時間の問題だったと言えるかも知れません。

 

別なニュースソースを見ても・・・やはり運用(攻撃)監視に失敗している事が伺えます。

このサービスは、電気料金の支払いなどでたまるポイントを航空会社やスーパーなどのポイントに交換できるもので、連絡を受けて会社が調べた結果、22日夕方から23日にかけて、特定の端末からアクセスした何者かが複数の会員のポイントを別のサービスのポイントに交換する操作を繰り返していたということです。

四国4県などの149人が保有していた12万7430円分のポイントが勝手に交換された疑いがあるということで、四国電力何者かが会員のIDやパスワードを入手してインターネットに不正アクセスしたとみて警察に相談しているということです。

NHKニュース記事より引用)

特定の端末からのアクセス」とあるので、少数のIPからのツール型攻撃(パスワードリスト攻撃)を受けたのだと推測されます。

こうした攻撃の場合、同じIPアドレスから短時間にログイン試行が(人間の試行では有り得ないスピードで)行われる事が多いので、同一IPの異常値を検知しやすいかと思います。ここを機械的にブロックするのも手ですが、正常の試行と区別がつきにくい場合は、例えばログイン失敗時に再試行にはペナルティを与える(例えば1分はログインできない)事により、パスワードリスト攻撃の効率(攻撃側のやる気)を落とす事が可能かと思います。

このサービスをめぐっては、去年秋にも9人のポイントが不正に交換されたことから、四国電力は今後ポイント交換の際に一度しか使えないパスワードを導入するなどして再発を防ぎたいとしています。

NHKニュース記事より引用)

四国電力の最大の失敗は、去年にも同じ攻撃を受けていて、ユーザ啓蒙程度しか対策を打ってなかった事ではないでしょうか? ワンタイムパスワード(OTP)を入れる事を再発防止策として検討している様ですが、、その前に出来る事があった気がします。

因みに、OTPは勿論有効な対策だと思いますが、再発防止策として自分が考えるとしたら、

f:id:foxcafelate:20180826164511p:plain

「お客様番号」をIDの代わりか、ポイント交換時には入れてもらう(OTPの代用)運用をまず思い浮かべます。

f:id:foxcafelate:20180826164715j:plain

現在のよんでんコンシェルジュIDはメールアドレスとなっています。

一般的な会員サイトの場合は、お客様番号を運営側で振ったとしても、あまり知られていませんので使いにくいのですが、電力会社やガス会社の場合、検針票の物理的な紙定期的に顧客の元に届きます。ここで表示されている番号(ID)は、メールアドレスや使いまわしているパスワードが仮に別サイトから漏洩したとしても、容易に推測する事は難しいのではないでしょうか。(番号体系が分かりやすかったりしたら別ですが)

うまく活用すれば、費用をあまりかけずにセキュリティ向上が図れる気がします。

 

その他、日経XTECHの記事には、四国電力は「会員被害を補償しない」明示している点が気になりました。

 四国電力は2018年8月24日、同社の会員サービス「よんでんコンシェルジュ」がサイバー攻撃を受け、会員のポイントが他社のポイントに不正に交換されたと発表した。被害を受けたのは合計149人で、被害額は12万7430円(1ポイント1円相当)。同社は会員の被害を補償しないとしている

(日経XTECH記事より引用)

パスワード使いまわし、あるいは脆弱なパスワード管理が明らかなのかも知れませんが、ユーザ側だけの問題ではない気がします。また顧客被害額は12万円程度ですので、企業への全体評判も考慮して、四国電力が補填しても良かったのではないかな・・と個人的には思います。

 

昨年の四国電力へのパスワードリスト攻撃も調べてみましたが、、、ほとんど同じ攻撃です。

www.ksb.co.jp

 四国電力によりますと10月2日、徳島県利用者から「よんでんポイントの身に覚えがない交換がある」と問い合わせがありました

 「よんでんポイント」は四国電力が去年から始めたサービスで電気料金の支払いなどでたまり、たまったポイントは電子マネーや商品券と交換することができます。
 
 問い合わせを受け、四国電力が調べたところ、香川県では9月30日から10月3日までの間に4件、5000円相当の不正交換があり、警察に相談しています。

 四国電力では、第三者が他人のIDとパスワードを不正に入手した可能性があるとみて、利用者にパスワードの変更を呼びかけています

(KSB記事より引用)

 

こうした状況において、すべてをユーザのパスワード管理不足(顧客の責任)、と断じるのも如何なものかなと思います。

 

調べてみると、東北電力でもほぼ同じ攻撃が2年前に起きています。

「よりそうeねっと」への不正アクセスに伴うサービス停止について| 東北電力

電力分野だけでなくても、ANAJALなども含めれば交換ポイント(ギフト券)を狙った攻撃はずいぶん前から続いていた事は、セキュリティ担当であれば考慮すべきだった気がします。

 

電力の地産地消のイラスト

更新履歴

  • 2018年8月26日AM(予約投稿)