Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ハードオフへのリスト型攻撃

IDとパスワードだけで会員サイトを守るのには限界がある、そんな想いを改めて強くするハードオフのリスト型攻撃の発表でした。

www.hardoff.co.jp

 

 弊社が運営するオンライン通販サイト(ハードオフネットモール)において、お客様ご本人以外の三者から「リスト型アカウントハッキング(リスト型攻撃)」による不正なログインがあったことが判明しました。(中略)

(1)不正ログインが確認されたお客様のアカウント数
ハードオフネットモールにご登録いただいている149件

(2)経緯
2020年1月7日、弊社にてアクセス監視を行っていたところ、2019年11月29日から2020年1月7日の期間に、不正ログインが試行されたことを確認しました。

(3)対応
不正ログインのあったIDは、パスワードを変更しなければ使用できないように対策を講じております。対象のお客さまへは、弊社より個別にご案内いたします。
不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化しております。また、本事案について警察に通報いたしました。

(4)閲覧された可能性のあるお客様の個人情報
○お客様の氏名(姓名、フリガナ)
○お客様の住所(郵便番号、市区郡町村、番地、部屋番号)
○電話番号、携帯電話番号、メールアドレス、性別、職業、生年月日、購入履歴
○配送先の氏名(姓名、フリガナ)、住所、電話番号
クレジットカード情報の一部 (カード名義人、有効期限、クレジットカード番号の一部)
*クレジットカード番号は、下3桁以外は非表示としており、保存されておりません。
 CVV番号(クレジットカードセキュリティコード)は、表示・保存されていないので、
 閲覧の可能性はありません。

(公式発表より引用)

 

◆キタきつねの所感

去年末の東北電力「よりそうeねっと」への不正ログイン事件の更新発表があったので、これをカウントしなければ(名が知れた企業への)今年初のパスワードリスト攻撃の事件かと思います。

 

リリース内容を見ていくと、まず経緯との所がひっかかります。

 

(2)経緯
2020年1月7日弊社にてアクセス監視を行っていたところ、2019年11月29日から2020年1月7日の期間に、不正ログインが試行されたことを確認しました。

 

アクセス監視してたのに、、1か月以上不正ログインに気づいてません何かおかしい気がします。用語の使い方の問題かも知れませんが、普通は監視=常時監視なのでは?と思います。この表現だと監視結果を1か月以上放置していたと(私には)思えてしまいます。

おそらく定期チェックでひっかかったという事なのだと思うのですが、だとすれば「検知」の表現の方が正しいのではないでしょうか。(広報チェックした上でリリースが出されているとは思いますが・・・

 

会員サイトの部分は一応ソース確認しましたが、特に気になる(EC-CUBEの様な)点は見つかりませんでした。しかし・・・トップページに少し気になる所がありました。。。

f:id:foxcafelate:20200112120124p:plain

 

見ずらいので2行に分割しますが、、

 

f:id:foxcafelate:20200112120345p:plain

f:id:foxcafelate:20200112120402p:plain

 

どうやら事件を受けて、「パスワードのセキュリティポリシー」が変更になった様です。この重要変更がいつ出されたかは分かりませんが、6桁未満の(脆弱な)パスワードが今回被害を受けた149件に相当数含まっていた可能性が高いのかと思います。だとすれば、今回被害を受けなかったアカウントでも6桁未満のパスワードは併せて強制変更をした方がよかったのではないでしょうか?ユーザの自主性(自主的なパスワード変更)に任せる今回の処置は、また被害を受ける脆弱点を残している気がしてなりません。

 

尚、会員登録の利用規約にはパスワード関連で、2つの条文がありますが、、6桁未満のパスワードに関する記載は見出せませんでした。(※プライバシーポリシーも見てみましたが、当該箇所を見つけられませんでした)

 

f:id:foxcafelate:20200112120647p:plain

f:id:foxcafelate:20200112120719p:plain

 

唯一、事件の公式発表に、

 

f:id:foxcafelate:20200112121320p:plain

 

という間接的な表現がありますが、これはポリシーとは言えないかと思います。一般ユーザが容易に見つけられない「変更」になっているのだとすれば、少し不親切(ユーザアンフレンドリー)な気がします

 

諸々指摘しましたが、事件の公式発表の最後のところに、ユーザに対するハードオフの「想い」を感じました。パスワードリスト攻撃に対するユーザ啓蒙の参考になると思いますので、ご紹介します。(※丁寧な説明、2次被害を受ける可能性があるフィッシングへの注意喚起が参考になる気がします)

今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測されます。そのため、他社サービスと同じパスワードを設定している場合は、不正ログインの対象となる可能性があります。他社サービスと同じパスワードを設定しないことが、リスト型攻撃を防ぐ方法の1つです。
本件に関して個別にご連絡を差し上げているお客様に限らず、他社サービスと同一のユーザID・パスワードをご利用の方は、速やかにパスワードをご変更くださいますようお願いいたします。弊社は、お客様情報の保護を最優先事項と認識しており、この度の事態の発生を真摯に受け止め、不正ログインの監視強化など、より一層お客様が安全・安心にお買い物できる環境を整備してまいります。

本件に関するお問い合わせは、下記窓口までお寄せくださいますよう、お願いいたします。なお、本件に限らず、弊社がお客様にメールや電話、SNSなどでパスワードやクレジットカード番号をお伺いすることはございませんので、ご留意くださいますようお願い申し上げます。

(公式発表より引用)

 

 

余談です。誰得情報ではありますが、専門分野(PCI)でもあるので豆知識を書いておきますと、ハードオフの公式発表にあった「CVV番号」については正確な表記ではありませんCVVは、VISAブランドのセキュリティコードの名称(※より正確にはサインパネル上の番号は「CVV2」ですが)となります。紛らわしい事に各クレジットカードブランドによって、セキュリティコードの呼び名が違います。なので、、こうした発表の際は、「セキュリティコード」と書く方が無難かと思います。

 

参考:各クレジットカードブランドのセキュリティコード名称

ブランド 略称 正式名称
VISA CVV Card Verification Value
mastercard CVC Card Verification Code
JCB CAV Card Authentication Value
Diners CVV Card Verification Value
Amex CID Card Identification Number

 ※正しくは磁気テープの中に入っているのが「CVV1/CVC1/CAV1/CID1」で、サインパネルの上にある3桁の番号が(Amexは表面4桁)「CVV2/CVC2/CAV2/CID2」と区別されます。

 

 

本日もご来訪ありがとうございました。 

 

 リサイクルショップのイラスト

 

更新履歴

  • 2020年1月12日AM(予約投稿)