Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

「Sポイント」への攻撃は「はぴeみる電」との連続攻撃

阪急阪神系の百貨店などで使える「Sポイント」の会員サイトへのパスワードリスト(総当たり)攻撃により、一部の会員情報に影響が出た様です。

www.nikkei.com

 

エイチ・ツー・オーリテイリング阪急阪神ホールディングスは11日、ポイントサービス「Sポイント」の会員サイトが不正アクセスを受けたと発表した。6日に判明し、44人の会員の氏名が流出した可能性があるという。うち1人は1000ポイント分のSポイントが他社ポイントに交換されたという。

手当たり次第に数字の組み合わせを試みる「総当たり攻撃」を受けた。1094件のIDとパスワードが一致し、うち44人は氏名と保有ポイント数が流出した可能性があるという。6日に顧客から「身に覚えのないポイント交換完了メールが届いた」と連絡があり、判明した。

これを受けて、Sポイントの会員サイトは利用を一時停止している。セキュリティー強化のため、運用再開には1週間から10日ほどかかる見込みだという。

日経新聞記事より引用)

 

公式発表

 

キタきつねの所感

Sポイントの会員数は2019年のデータでは約750万人(※参考)と、関西圏では非常に人気のあるポイントサービスです。

 

パスワードリスト攻撃の成功率は一般には1%以下と言われています。しかしこれは攻撃に使われるリストの「質」によるもので、1年前に「クロネコメンバーズ」の不正アクセス事件があった際には約11%でした。

参考:クロネコメンバーズの不正アクセス - Fox on Security

 

今回の攻撃で不正ログインに成功したのは1,094件ですが、エイチ・ツー・オー リテイリングら3社連盟の公式発表では、不正ログインの試行回数については開示していません

前述の成功率から推定すると、1%だと10万件、10%だと1万件程度の不正試行があった事になりますが、約750万人の母数からすると、今回の攻撃が「お試し」であった可能性を感じます。

 

その事は、攻撃期間にも表れています。

【アカウントハッキングの内容】
サイト名:Sポイントメンバーサイト
期 間:7月24日~8月2日

(公式発表より引用)

 

今回エイチ・ツー・オー リテイリングら3社は不正アクセスを自社で検知できておらず、顧客からの通知を受けて8月6日に不正アクセスを把握していますので、攻撃側が自ら8月2日に攻撃を止めたと推測されます。

 

この記事を書いている時点では、まだSポイントの会員サイト利用が出来なくなっていますが、

f:id:foxcafelate:20200812061252p:plain

 

どんな感じのログイン画面だったのかを魚拓サイトで確認してみると、以下の、どこにでもあるログイン画面でした。

f:id:foxcafelate:20200812061647p:plain

パズル認証等、表向きは攻撃ツール対策もされてない様でしたので、パスワードリスト攻撃には比較的脆弱だったかなと思います。

※表面上見えないだけで、裏側でリスクベース認証を実施したり、ログインボタンを押した後に追加認証(例えばパズル認証や写真認証など)をかけるサイトもありますので、一概に脆弱と言い切れませんが、魚拓サイトで見た感じでは、あまり追加対策が打たれている様には感じられませんでした。

 

「お試し」攻撃だと感じた理由はもう1点あります。44名が不正ポイント交換申請をされていますが、1名だけしか成功していません

【不正に交換されたポイントの状況】
Sポイントから他社ポイントへの交換:1件、1000ポイント(1名)
※ID 等一致会員のうち、他社へのポイント交換をされた会員は44名でありましたが、43名は交換完了前に処理を停止しました。

 

(公式発表より引用)

 

Sポイントの他社ポイントへの交換については、「提携ポイントコース」を指していると考えられます。

f:id:foxcafelate:20200812062929p:plain

 

この中で、エールポイントは阪神の宅配サービスで、攻撃者が一般的に狙う「現金化」が難しい提携先となります。

関西電力の「はぴeポイント」か「ANAマイル」の可能性が高くなりますが、ANAは交換に約10日かかりますので、約3日で済む「はぴeポイント」への不正交換を狙ったのではないかと推測します。

f:id:foxcafelate:20200812063240p:plain

 

ここまで考えてみると、別な事件として少し前に報じられていた、8月6日に関電がWebサービス「はぴeみる電」への5件の不正ログインが、「Sポイント」への攻撃期間ともほぼ同じである事から、関連している可能性が高い気がします。

www.kepco.co.jp

当社Webサービス「はぴeみる電※」に対して、8月5日、第三者が、不正に入手したと思われる会員IDやパスワードを用いて外部からアクセスを行い5件の不正なログインが行われたことを確認しました。

 これにより、第三者がお客さまの氏名や住所などの個人情報を閲覧したことを確認しています。なお、現時点で、ポイント交換や契約プランの変更といった被害は発生していません。

関西電力リリースより引用)

 

2つの攻撃では共に大きな被害を出していませんが、関西圏を代表する企業に対する、連続した攻撃であったと考えると、顧客への利便性を考えて他社ポイント交換サービスを提供しているサービス事業者は警戒レベルを上げるべきなのかも知れません。

 

 

余談です。「Sポイント」に対する攻撃は、顧客から連絡があり判明しているのですが、1名しか不正にポイント交換がされてないと発表されていますので、

6日に顧客から「身に覚えのないポイント交換完了メールが届いた」と連絡があり、判明した。

日経新聞記事より引用)

 

攻撃者に「お試し」ポイント交換を申請された最初の1名が、不正交換を(たまたま)検知したので被害が少なかったという経緯の様です。

 

 

さらに余談です。今回の「Sポイント」の旧サイト(阪急阪神ポイントサイト)は、2013年5月に外部からの不正アクセス(パスワードリスト攻撃)を受けて、2382件の個人情報を不正閲覧されています。

阪急阪神百貨店サイトに不正アクセス、2382件の会員情報閲覧 | 通販通信ECMO

 

当時の対策案は攻撃IPの遮断と監視の強化で、抜本的な対策は実施してなかった様です。今回はサイトを止めて「セキュリティ強化」と書かれていますので、「お試し」攻撃が本格的な攻撃になっても、対応できる様な対策が取られるのかと思います。

 

 

※8/14追記

下記の記事で試行回数が報じられていました。約1000万回の不正試行・・・攻撃リストの精度は相当低かった様です。しかし別な問題として、1000万回攻撃を受けて「気づかない」企業側にも問題があると言えそうです。

www.security-next.com

エイチ・ツー・オーリテイリングによれば、7月24日から8月2日にかけて、大量にログインを試行するブルートフォース攻撃を受けたもの。8月6日に判明した。今回の攻撃では、海外の複数IPアドレスより約1000万回にわたるログインの試行が行われ、本人以外の第三者によって1094件のアカウントがログインされた。

(Security Next記事より引用)

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ポイントに悲しむ人のイラスト(女性)

 

更新履歴

  • 2020年8月12日 AM(予約投稿)