中部電力の会員サイトがパスワードリスト(スプレー)攻撃を受けていた事が報じられていました。今年2回目の不正アクセスの発表となります。
www.security-next.com
■公式発表 「カテエネ」における不正ログインについて
同社によれば、第三者が本人になりすましてサービスへ不正にログインしたもの。顧客から、身に覚えのないポイントの交換申請や契約プランの変更申請が行われたとの申し出があり、調査したところ判明した。
10月17日から28日にかけて、87件のアカウントが第三者によるログインを許し、そのうち60件で、不正なポイント交換申請やウェブ検針票への切り替え申請、契約プランの変更申請などが行われたという。実際にポイントが不正に利用された被害は発生していないとしている。
(Security Next記事より引用)
◆キタきつねの所感
中部電力から不正試行の回数が発表されてませんので推測になりますが、今回のリスト攻撃がパスワードリスト攻撃の亜種である「パスワードスプレー攻撃」であった可能性をまず感じました。その理由は約10日間の攻撃であった点です。
foxsecurity.hatenablog.com
パスワードリスト攻撃の不正試行の成功率は、リストの精度(信頼度)にも寄るのでばらつきがあるかと思いますが、少し前には1%程度と言われていましたが、攻撃案件によっては5%以上のケースも出ていたかと思います。
従来のパスワードリスト攻撃の対策の1つとして、「大量の不正ログイン試行」あるいは「大量のログインエラー」を検知(監視)する方法がありますが、パスワードスプレー攻撃は、アドレスを変えたり、時間をずらしたり、複数のアカウントに対して同時に1つのパスワードを試行するなど、ゆっくりと攻撃を行って不正を検知されにくくする攻撃です。
今回不正アクセスを受けた中部電力は、7月にも不正アクセス被害のリリースを出しています。つまりこうした攻撃に対しては警戒していたユーザと言っても過言ではありません。また前回8月末の攻撃に対して、中部電力は2日以内で対応(検知)しています。
しかし今回は被害件数が少ない(7月に比べると約1/3)にも関わらず、12日間の侵害を許している事となり、その不正検知のきっかけは「複数のお客から不正に対する問い合わせ」であったので、中部電力側の検知では無かった事が伺えます。
この事を考えると前回と攻撃パターンが違った(=パスワードスプレー攻撃)のかな?と思うのです。
ここ数年、電力会社の会員サイトへの攻撃が多くなってきている気がしたので・・・改めて、電力・ガス系の会員サービスへの不正アクセスを調べてみたのですが、やはり毎年、どこかの電力・ガス会社がリスト攻撃を受けている事が分かります。
| リリース日 |
対象組織 |
攻撃期間 |
被害件数 |
備考 |
| 2019年10月30日 |
中部電力
「カテエネ」 |
2019年10月17日~10月28日 |
87件 |
パスワードリスト攻撃と推定される第三者からの不正ログイン試行により、87件の不正アクセスを受け、内60件で不正なポイント交換申請や契約プラン変更申請が行われた。カテエネポイントの不正利用被害はない。 |
| 2019年7月12日 |
中部電力
「カテエネ」 |
2019年7月10日~7月11日 |
234件 |
パスワードリスト攻撃と推定される第三者からの不正ログイン試行により、個人情報が不正に閲覧された可能性がある。カテエネポイントの不正利用被害はない。 |
| 2018年8月24日 |
四国電力
「よんでんコンシェルジュ」 |
2018年8月22日~8月23日 |
149件 |
パスワードリスト攻撃と推定される第三者からの不正アクセス(※登録者数を超える=22万件以上と推定される)を受け、149人が合計12.7万ポイントを不正交換された。 |
| 2017年10月13日 |
東邦ガス
「Club TOHOGAS」 |
2017年10月12日 |
103件 |
1.5万件を超えるふせいアクセスを受け、103件で顧客情報が不正に閲覧された可能性。 |
| 2017年9月22日 |
東京ガス
「myTOKYOGAS」 |
2017年9月11日~9月20日 |
106件 |
パスワードリスト攻撃と推定される第三者からの不正アクセスを受け、106件で顧客情報が不正閲覧され、内24件では合計3.8万円相当のポイントが不正交換された。 |
| 2017年9月1日 |
東京ガス
「myTOKYOGAS」 |
2017年8月30日~8月31日 |
17件 |
10万件を超える不正アクセスを受け、17件で顧客情報が不正に閲覧された可能性。 |
| 2017年3月15日 |
沖縄電力 |
2017年3月13日 |
6478件 |
停電情報公開サービスがApache Struts2の脆弱性を突かれ、メールアドレス、ニックネーム等、お客様情報6478件が漏えいした。 |
| 2016年11月16日 |
東北電力
「よりそうeねっと」 |
2016年11月10日~11月15日 |
540件 |
複数の特定のIPアドレスから大量の不正アクセスが試みられ、1416名が不正アクセスに成功、540名が不正にポイント交換された。何者かが当社以外から入手したログインIDやパスワードを用いて、不正なアクセスを試みたものと判断される。 |
以前は、他の会員サイトへのリスト側攻撃と同様に、不正ポイント交換被害を出していましたが、最近は防御側も対策が進み、不正ポイント交換はほとんど発生していません。
顧客の個人情報の閲覧を除いて、直接の不正被害(攻撃者にとっての利益)が発生してない事から考えると、インフラ事業者への”攻撃”は、攻撃側の攻撃手法(ツール)を試している、という側面もあるのかも知れません。あるいは本命の重要インフラを攻める前に、防御力を偵察をしている段階と考える事もできそうです。
ニュースをみて、中部電力の会員サイトをみて見たのですが・・・既に何か改善策をみている様な画面が出てきたので、後日アクセスしてみたところ、
案内(リリース)が1つ増えてましたので、この(延期)対応だった様ですね。
現在のログインは、IDとパスだけの様なので、この辺りが狙われたのかな・・と思い、周辺をチェックしてみると、「カテエネIDをお忘れの方」を押すと・・・
何故かメンテ中の表示が出ます。
それではと「パスワードをお忘れの方」を押すと・・・
普通に動いてます。
念のため魚拓サイトで確認すると、「カテエネIDをお忘れの方」は、ログインIDを登録メールアドレスに教えてくれる機能の様です。
ここを、、何で止めている(メンテナンスしている)のでしょうか?
改めて、中部電力のリリースをみて見てみると、
お客さまのメールアドレスとパスワードを用いて、87件の不正なログインが行われた
「カテエネID」ではなく、「メールアドレス」が不正ログインに使われた、という内容で書かれています。
とても違和感があります。。。
リリースに詳しく書かれてない事を推測で書くのはどうか?といった厳しいご指摘もたまに頂くのですが、忖度はあまりできないタイプなので、書きますと、、(※下記根拠は薄いです)
不正ログインの試行に際して、もしかすると攻撃者は「ここ」(=カテエネIDをお忘れの方)を攻めたのではないでしょうか?
メールアカウントが既に侵害されていた場合(=メールアドレスとパスワードが漏えいしたリストに合った場合)、例えば以下の様な攻撃方法が考えられます。
【攻撃者リスト】メールアカウント:abc@XXX.com パスワード:12345678
①abc@XXX.comアカウントに「12345678」で不正ログイン
※受領した「カテエネ」からのメールは削除する
②「カテエネ」の「カテエネIDをお忘れの方」にabc@XXX.comを入れる
③abc@XXX.comアカウントに再び不正ログインし、「カテエネID」を入手
※受領した「カテエネ」からのメールは削除する
④「カテエネID」と「12345678」でカテエネに不正ログイン
別な手法として、②から始め、「abc@XXX.com」を入れて「カテエネ」側からエラーが返ってこなかったら「abc」か「abc@XXX.com」が「カテエネID」であると決め打ちして、「12345678」で不正ログインを試みるパターンもあり得るかも知れません。但しこの手法の場合は、「abc@XXX.com」アカウントに送信された「カテエネ」からのメールが消せてませんので、顧客本人に気づかれやすくなるので、、短期間の攻撃にしか向かない気もします。
パスワードスプレー攻撃かな?とも考えたのですが、、、上記の様な周辺を攻められた攻撃だったと考えた方が、自分の中ではしっくりきます。
不正な顧客情報閲覧以外には、実害が発生してないので、おそらく中部電力からはこれ以上、詳細なリリースは出てこないと思いますが、現在取り組んでいる「不正対策」の中身を見れば、もしかすると上記の様な今回攻撃者が突いてきた「脆弱点」が見えてくるのかと思います。
余談ですが、こうした会員サイトを攻められる事に対する王道の対策は多要素認証かと思いますので、中部電力が現在取り組んでいるセキュリティ強化策は、OTPや認証連携などかな・・と想像しますが、
電力会社やガス会社の場合、もう1つお客様番号というユニーク番号も持っているので、ここを使った本人認証というのも(初回登録だけでなく)考えられるかも知れません。
※中部電力HPから引用
※11/8追記 11/7の追加発表
中部電力|「カテエネ」における不正ログインに関する追加調査の結果およびセキュリティ強化策の実施について - プレスリリース(2019年)
事実が判明した以降も継続して調査を行った結果、8月21日から10月28日にかけて、さらに78件の不正ログインが行われており、このうち62件については不正なポイント交換申請が行われ、8月・9月に申請された16件については提携企業のポイントに交換されていたことが判明しました
(中略)
当社は、これまで、不正ログインが行われている可能性が高い特定のプロバイダーのメールアドレスをご利用されているお客さま等(約7万件)について調査を行いましたが、今後、「カテエネ」に電気・ガスのご契約情報を登録されている全てのお客さまに対象を拡大して調査を実施するとともに、不正ログインが疑われるお客さまについては、個別にご連絡してまいります。
また、セキュリティ強化策として、12月より「カテエネ」のログイン時に、二段階認証を導入します。二段階認証を導入するまでの間は、暫定的に本人確認を強化する等の対応をしております。
(11/7公式発表より引用)
※不正ポイント交換被害が出てた様です。更に追加される可能性もありそうです。対策は、、、やはり2段階認証導入でした。SMS-OTPだとは思いますが、最近はSMS-OTPも中間者攻撃やクローンSIM(※日本だと事例は少ないと思います)で破られたケースもある様ですので、2段階認証だから安心と考えるのではなく、多層防御(+全体システムの穴がないが定期的チェック)とするのが必要かと思います。
本日もご来訪ありがとうございました。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
- 2019年11月3日AM(予約投稿)
- 2019年11月8日PM 追加発表を受けて追記