少し前の記事ですが、コジマネットのECサイトへの不正アクセス事件を取り上げてみたいと思います。
www.kojima.net
■公式発表 当社インターネットショッピングサイトでの不正アクセスについて
◆キタきつねの所感
先にヤマダ電機の事件を記事にしてしまったので、今更の感がありますが、5/23に発表されたコジマのECサイトへのパスワードリスト攻撃について、少し書いてみます。
現在、公式発表(第一報という感じがしますが)はトップページにリンクがありますが、非常に見にくい場所に掲載されています。トップページから考えると2ページ目辺りにようやく出てきます。
意図的という訳ではなく、単なるページ構成上の話なのだと思いますが、もしこれが消極的表示の意図があるのだとすれば、事件の印象が薄れやすい手法と言えるかも知れません。
リリースの内容は、正直中身がありません。調査中だから言いたく無いのかも知れませんが、『何件が個人情報を閲覧されて(漏洩して)しまったのか』あるいは『何時から何時の間に不正アクセスを受けたのか』意図的に伏せている様に思えます。
不正アクセスされたと思われるお客様の会員IDは、事案発覚後にパスワードを無効化し、パスワードの再設定のお願いをメールで個別にご連絡しております。
本件の詳しい事実関係は現在調査中ですが、既に警察当局には届出をし、捜査に全面的に協力をしております。
(公式発表より引用)
個別にメールが出来る訳ですから、既に漏洩件数についてコジマ側は影響を受けたユーザの特定が済んでいる(最大被害件数を把握している)事が文面から分かります。
またユニクロ・GUの事件と同じとも言えますが、『パスワードの使いまわしをしているユーザが悪い』という様な内容でリリース文面が作られている様です。
お客様におかれましては、会員ID・パスワードの管理の重要性をご理解賜り、次のことを実施して下さいます様お願い申し上げます。
①他のWebサイト等と同一の会員ID・パスワードを使用しない。
②コジマネットのパスワードを定期的に変更する。
※今回の不正アクセス時に用いられたID・パスワードは、第三者によって外部で不正に取得されたと思われるものであり、当社内からの外部流出や、コジマネットへの不正アクセスによって取得された痕跡は発見されておりません。
(公式発表より引用)
実際には、公式発表が(意図的に)事件詳細情報を開示してないので、どの程度コジマに瑕疵があったのか、わかりません。もしかすると漏洩件数が非常に少なかった可能性もありますし、攻撃を受けてすぐに気づいて止めたかも知れません。
しかし、公式発表を見る限りは、漏洩件数を発表できない程に、ユニクロ・GU同様に、一定数以上のパスワードリスト攻撃が成功してしまったのではないかなと推測します。
その理由として、コジマのユーザ登録画面でのパスワードポリシーがあります。ユニクロ・GUの記事でも書きましたが、”半角英数6文字以上”は大文字や記号が入ってませんし、桁数も6桁と短い事から、パスワード総当たり攻撃に対しても弱い(弱い強度のパスワードが設定されやすい)傾向があるかと思います。
今回の事件を受けて、(影響を受けた可能性がある旨の)通知を受けたユーザがパスワードを再設定しようと思っても、コジマ側のシステム(パスワード設定)制約によって、強度が弱いパスワードしか再セットできないとしたら、『パスワードリスト攻撃だからユーザが悪い』という事はなかなか言えないかも知れませんし、また不正アクセス(総当たり攻撃を含む)を受けてしまう可能性も否定できません。
公式発表から読み取れる情報はあまりありませんが、この事件を調べている中で、気になった点があります。
余談となりますが、それが新規ユーザ登録部分のURL(構成)です。
Javaを使っている事はわかるのですが・・何かECサイト構築のフレームワークらしきURLを示しています。
member/CMmMemberForm.jsp
特徴的なURLのパターンなので検索してみると、たくさん出てきました。相当人気のフレームワークである事が分かります。
少し調べた結果、どうやらECコマース21の癖の様です。
www.commerce21.co.jp
ECコマース21の実績ページを見ると、しっかりとコジマの名前が出ていました。
パスワードリスト攻撃という事ですので、今回の事件とは直接は関係が無いものと思いますが、頻発しているEC-CUBE構築ECサイトへの攻撃と同様に、このパッケージの管理者権限奪取への攻撃は要注意なのかなと思いました。
有償で大中規模のECサイト構築に優れたプラットフォームの様ですので、EC-CUBEの様に事件が定期的に出てくる事はないかも知れませんが、名だたる企業が利用している様ですので、少しウォッチが必要かなと思っています。
更新履歴