Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

中部電力の不正ログイン

中部電力の顧客向けサイトがパスワードリスト攻撃の被害を受けていた件が報じられていました。

www.sanspo.com

 

■公式発表 「カテエネ」における不正ログインについて

 

 中部電力は12日、家庭向けインターネットサービスで不正ログインがあり、顧客の氏名や住所など最大234件の個人情報が流出したと発表した。金銭的な被害は確認されていないという。被害が多かったのは愛知県が104件、静岡県が37件、岐阜県が35件

 不正ログインがあったのは10日から11日で、顧客の氏名や住所、電気やガスの請求額、契約プランなどが見られる状態となった。電気料金の支払いなどに使えるポイントの不正利用はなかったという。

(サンスポ記事より引用)

 

◆キタきつねの所感

234件は中部電力規模では実害が軽微と言えるかと思いますし、中部電力は早めに検知できたという事なのだと思います。パスワードリスト型攻撃は本人のログイン試行と見分けがつきにくい事もあるかと思いますので、よく防いだと考えても良いのではないでしょうか。

 

撃側の狙いについては、個人情報の持ち出しを狙っていたという訳ではなく、ポイント不正交換が本命だったと考えられます。しかしリリース等を見る限り、それは防げていた様です。

f:id:foxcafelate:20190714073502p:plain

 

他に考えられる意図としては、不正に入手したであろうパスワードリストの有効性確認という考え方もあるかも知れません。(実害がなかったという事なので・・・)中部電力が公式発表で出している様に、パスワードの使い回しには気を付ける必要があるかと思います。

 

5 お客さまへのお願い
不正なログインを防ぐ観点から、当社が運営するWebサービスカテエネ、ビジエネなど)を含めご利用のWebサービスごとに異なるIDとパスワードを設定いただきますようお願いいたします。

 

また、中部電力の「カテエネ」で有効であると確認されたIDとパスワードを使って、他のサービス事業者に攻撃をかける事も十分考えられるます。もしかすると攻撃者は、パスワードリスト攻撃に使ったID(メールアドレス)で、中部居住ユーザと分かるものだけスクリーニングしてから攻撃をしてきたのかな・・と想像もできます。

被害が多かったのは愛知県が104件、静岡県が37件、岐阜県が35件

ケービルテレビプロバイダーであるとか、中部を拠点にしているサービス事業者が発行するドメインだと、防御する側は、ログイン試行のエラーが減少するので(例えば東京のユーザはエラーになるので・・・)、リスト攻撃により気づきにくくなるかと思います。発表された情報では何とも言えませんが、こうした攻撃が洗練される事には警戒が必要になってくるかも知れません。

 

 

余談で、今回の「カテエネ」がどうであったのかは分かりませんが、電力会社やガス会社は、他のサービス事業者に比べて使える『認証コード』があります。それが検針票などに記載される『お客さま番号』です。この番号をポイント交換や、個人情報閲覧(変更)などの動作の際に追加認証で用いる事ができるのは、他のサービス事業者がパスワードリスト攻撃対策に悩む中で、大きなアドバンテージと言えるかも知れません。

f:id:foxcafelate:20190714091523p:plain

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20190714073358p:plain

 

更新履歴

  • 2019年7月14日AM(予約投稿)