ジャックスの会員サイトがパスワードリスト攻撃を受けていたと発表されていました。8月下旬にはモバイル側ではありますが、三井住友カードも攻撃を受けており、セキュリティがしっかりしていると見なされてきたカード会社も攻撃対象になりつつあるのかも知れません。
www.security-next.com
■公式発表
Web 会員サービス「インターコムクラブ」への不正ログインについて(第一報)
Web 会員サービス「インターコムクラブ」への不正ログインについて(第一報)
ジャックスのクレジットカード会員向けサイト「インターコムクラブ」がパスワードリスト攻撃を受け、一部アカウントが不正にログインされたことがわかった。
同社によれば、モニタリングを通じて9月14日に不正なログインを検知したという。調査を行ったところ、本人以外の第三者が、何らかの方法で入手したIDとパスワードのリストを用いてログインを試みる「パスワードリスト攻撃」であることがわかった。
同月18日の時点で、634件のアカウントが本人以外にログインを許した可能性があることが判明。クレジットカードの利用金額や明細、利用可能額、ポイント残高が閲覧されたり、ポイントを交換されたおそれがある。
同サイトでは、氏名やクレジットカード番号、住所、メールアドレスなどは、マスキングされており、閲覧によって特定できないとしている。
(Secuirty Next記事より引用)
◆キタきつねの所感
漏洩している内容を見ると、「ポイントが不正交換された」おそれがある部分以外は、そう大きな被害ではない事がわかります。
また、交換についても会員以外の第三者に送れたかどうかまでは分かりませんが、ジャックスのポイント(ラブリィポイント)カタログを見る限り、あまり実害はないのかな・・と思ったのですが、
デジタルギフトは換金性があるものが、デジタルコードで発行される様ですので、この辺りを攻撃者は狙ったのかも知れません。
1.経緯
2019 年 9 月 14 日(土)、弊社が不正対策として行っているモニタリングにより、インターコムクラブに対する不正なログインを探知したことから調査を開始し、その結果、「リスト型攻撃」による不正ログインと判明したため、同年 9 月 17 日(火)に不正ログインされた ID の無効化処理をいたしました。
(公式発表より引用)
少し気になるのが、不正ログインIDの無効処理の前に不正な通信をブロックしなかったのかな?という点です。敢えて公式発表に対応を書いてないだけかも知れませんが、リリースの読み方によっては、14日に怪しげなログイン試行を検知しながら、17日までパスワードリスト攻撃の対策をしなかった(出来なかった)とも読み取れます。
余談です。
634件の不正ログイン成功に関しては、大量のログイン失敗のログが出ているのかと思いますが、だとすれば早めにブロックできた可能性もあるのかな・・・と思いますが、一方で・・・土曜日の攻撃だとすると、責任者が土日捕まらずに判断が遅れた・・・という様な可能性もあったのかな・・と妄想します。
三井住友カードが攻撃を受けたと発表したのが、8月下旬。ジャックスだけでなく、他のカード会社もIDとパスワードで運用している会員サイトが多数ありますが、ハッカーの(パスワードリスト)攻撃対象として今後しばらくは警戒が必要かも知れません。
foxsecurity.hatenablog.com
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴