Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

スタバは2要素が間に合わなかった

不正アクセス事件 考えてみた。

スターバックスの会員サービス「My Starbucks」への不正アクセスにより、18万円の被害が出ている事が報じらていました。

www.nikkei.com

 

 

■公式発表 My Starbucks不正ログイン防止のため、パスワードを変更してください

 

スターバックスコーヒージャパンは25日までに、同社の会員向けサイトに不正アクセスがあったと発表した。何者かが会員のメールアドレスとパスワードを使い、クレジットカードから入金してコーヒー豆などを購入。被害額は約18万円に上るという。同社はクレジットカードの利用を停止し、会員にパスワードの変更などを促している。


同社の会員向けサイトでは、商品の購入用にクレジットカードでプリペイドカードに入金するサービスを提供している。同社によると、初めて不正アクセスがあったのは今月16日。このサービスの利用者から身に覚えのないカードへの入金や利用をされている」との連絡が17日にあり、問題が発覚した。

同社が調査したところ、不正アクセスが見つかり、関東地方の5店舗でコーヒー豆やタンブラーなどが不正に購入されていた。被害は1件につき最大約7万7千円で、計約18万円

日経新聞記事より引用)

 

◆キタきつねの所感

この問題に関しては、ITジャーナリストの三上さんがいち早く記事を書かれていました。要点がまとめられた良記事をUPしていらっしゃいますが、7Pay事件などを引き合いに2要素認証が導入されてない点、そして同様にクレジットカードが不正に紐づけられチャージが出来る点、そして個人情報が不正閲覧された可能性について指摘されていました。

news.yahoo.co.jp

 

おっしゃられている点は、ごもっともです。

 

ですが、記事を読んでいて少し違和感を感じました。2要素認証を導入してない点については、大企業であるスターバックスだからそう言われるのは仕方が無い気もしますが、他のサイトにも結構あります

7Pay事件の場合は出し子の数多く、被害がサービス開始から急激に膨れ上がった事がネット上でも話題になりましたが、今回のスターバックスの事件の場合、被害件数が5件、被害額も約18万円と、そんなに被害額が多い方ではありません。

偶然顧客が気づいた事はあるにしても、むしろ、すぐにクレジット利用を止めてこの被害範囲で抑えられたスターバックス側も評価すべきだと思うのです。

 

分野は違いますが、よくパスワードリスト攻撃の被害を受けている事を発表される、ディノス・セシールは、10/24にパスワードリスト攻撃を受けた事を発表しています。

【セキュリティ ニュース】セシール通販サイトにPWリスト攻撃 - 試行30回を検知(1ページ目 / 全1ページ):Security NEXT

 

今回は不正アクセス1件(個人情報閲覧だけ)ですが、過去には不正購買被害も発生しています

「セシール」に不正アクセス 161万円分の不正注文 個人情報流出の可能性も - ITmedia NEWS

 

しかし、特にセキュリティ業界の方は、ディノス・セシールさんのセキュリティ体制について賞賛する事はあっても、パスワードリスト攻撃が定期的に発生しているのだから、ディノス・セシール「2要素認証を入れるべきだ!」と(表立って)言われる方は少数だと思います。

foxestar.hatenablog.com

 

検知能力も(リスクベース認証でしょうか?)優れていらっしゃいますし、常に新しい攻撃を受けている、いわばハッカー側からベンチマークの様に使われている事を考えると、多層防御の考え方が違うだけであって、顧客のユーザビリティと自社のセキュリティ体制を考慮して、2要素認証を敢えて選択してないだけだと見る事もできます。

 

7Pay事件の場合と比較されて、スターバックスの事件記事をご覧になった方も多いかも知れません。7Payの場合、経産省から「ガイドライン順守」について、こっぴどく怒られた記憶がある方も多いかも知れません。

japan.cnet.com

 

キャッシュレスをスターバックスもやっているのだから、ガイドラインに書かれている2要素認証を導入すべきだ!・・・とまでは今回は言い切れない気がします。(参考にすべきだったとは思いますが)

 

それは、スターバックスジャパンが、まずは7PayやPayPayの様なQRコード決済をやっている訳でない(※上記ガイドラインは「コード決済」用のガイドラインです)点や、キャッシュレス推進協議会のメンバーで無い事もありますし、

 

重要なお知らせ(2019/09/20) | スターバックス コーヒー ジャパン

にも書かれていますが、

(4)10月1日に開始した経済産業省によるポイント還元制度(正式名称「キャッシュレス・消費者還元事業」)に関しまして、スターバックス コーヒー ジャパン 株式会社はポイント還元対象企業ではありません。ただし、出店している商業施設とその商業施設が提供する決済手段によっては、対象となる場合もございます。詳しくは、各商業施設にご確認ください。

スターバックスリリースより引用)

ポイント還元対象企業でも”無い”のも、そう考えられる理由です。

 

事件が発生すると「2段階(要素)認証をしてないからだ!」と言われる方は多いのですが、セキュリティ対策は、必ずしも多要素認証でなくても、(多層防御で)リスク軽減できると思いますし、ある一定リスク以下であれば、高額のセキュリティ対策(防御策)を導入するよりも、被害を受けてもすぐ検知するといった、ある程度の事件リスクを許容してしまうセキュリティ設計も考えられるのです。

※注:多要素認証が有効な対策の1つである事は否定しません

 

さて、前段が長くなりすぎましたが、改めてMy Starbucksをみて見ます。まぁ普通のログイン画面ですね。

f:id:foxcafelate:20191026150029p:plain

 

 

パスワードリスト攻撃であった可能性が一番高そうですが、パスワードを忘れた場合登録メールアドレス・・・だけでパスワード変更がかけられそうなのも気になる所です。

 

f:id:foxcafelate:20191026155328p:plain

 

今回のケースで、ここが攻められたかは分かりませんが、ユーザの登録メールアカウントが既に侵害されていた場合には、パスワード再設定が第三者が不正に出来てしまう可能性が考えられます。(手間はこちらの方が多いので、リスト攻撃の気がしますが)

 

余談ですが、、、日本のスターバックスは米国とシステムがほぼ同じですが、日本でパスワードリスト攻撃が発生するとしたら、、、米国はどうなっているのか?と調べてみたのですが、電話(SMS)ベースの2要素認証を10月にAndoroid/iOS導入したです。

f:id:foxcafelate:20191026160241p:plain


ホームページを見ると、、カスタマーサポートページに2要素のページを見つけましたが、こちらは9月に更新されています。(どちらが正しい情報なのかは不明)

 

f:id:foxcafelate:20191026160510p:plain

 

スターバックスジャパンは「惜しかったかもしれない」と言えそうです。米国で暫く運用を廻してから他国(日本)に導入という計画だったのかも知れませんが、今回の事件を受けて、2要素認証導入まで含めて、再検討されるのは間違いないかと思います。

 

 

本日もご来訪ありがとうございました。

 

 

※11/6(水)に日本プライバシー認証機構(JPAC)様からセミナーのお話を頂きました。国内のカード情報漏洩のみならず、海外のあまり知られてないカード情報漏洩事件などを解説したいと思ってます。良かったら下記開催案内もご覧いただけたら幸いです。

www.jpac-privacy.jp

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 f:id:foxcafelate:20191026143457p:plain

 
 

更新履歴

  • 2019年10月26日PM(予約投稿)