Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

North Faceへのパスワードリスト攻撃

不正アクセス事件 海外事件 つぶやいてみた。

アウトドア用品や衣服等を販売するNorth Faceクレデンシャル・スタッフィング攻撃(=パスワードリスト攻撃)を受けて顧客情報が漏えいした可能性があり、予防策としてパスワードリセットを行った事を発表していました。

※日本サイトではありません。

www.bleepingcomputer.com

 

公式発表(カリフォルニア州司法長官事務所提出の通知)

 

キタきつねの所感

実害は、個人情報が不正閲覧(窃取)された程度で、カード情報も漏えいしてません。しかし日本でも著名なブランドであるNorth Faceが、パスワードリスト攻撃の被害に遭った(=攻撃を防げなかった)という事は、日本企業にも良い気づきになる気がしたので取り上げます。

 

まず影響を受けた件数ですが、North Face側は公開してない様です。影響を受けた顧客に送信されたデータ侵害通知の内容から、一定数以上の侵害があったのは間違い無いかと思いますが、漏えいした情報にカード情報が含まれていない事もあるのか、全体の漏えい件数は通知にも、各社メディアの記事にも書かれていません。この辺りは日本のソレとは少し違う公開の仕方な気がします。

私たちはお客様の個人情報のセキュリティを気にかけており、お客様の個人情報の一部への不正アクセスの証拠を発見したことをお伝えするために文書を作成しています。2020年10月9日、当社は当社のウェブサイトであるthenorthface.comに関わる異常な活動に警告を受け、直ちに調査を行うよう促しました。慎重な調査の結果、2020年10月8日および9日に当社のウェブサイトに対して「クレデンシャル・スタッフィング攻撃」が行われたと結論付けました。クレデンシャル・スタッフィング攻撃」とは、特定のタイプのサイバーセキュリティ攻撃のことで、攻撃者は、他のサイトから盗まれたアカウントの認証情報(例えば、電子メールのアドレス/ユーザー名やパスワード)を使用しています。
他社やWebサイトへの不正アクセスを狙って ユーザーアカウント。クレデンシャル・スタッフィング攻撃は、個人が同じ 複数のウェブサイトでの認証資格情報の使用を推奨しています。thenorthface.comのユニークなパスワードを使用しています。
我々の調査に基づき、攻撃者は以前にあなたの メールアドレスとパスワードは別のソースから(ザ・ノース・フェイスではありません)と その後、それらの同じ資格情報を使用してthenorthface.comのあなたのアカウントにアクセスしました。

(公式発表より引用)※機械翻訳

 

漏えいした可能性がある個人情報は、 住所、氏名、メールアドレス、誕生日、電話番号、ポイント数等です。

これらの情報を使ってのフィッシング攻撃には警戒が必要であるものの、毎年多くの個人情報漏えい事件が発生している米国では、”また個人情報が漏えいした”程度の被害なのかも知れません。

お客様が当社のウェブサイトで購入した商品、お客様が「お気に入り」に保存した商品、お客様の請求先住所、お客様の配送先住所、お客様のVIPeak顧客ポイント合計、お客様の電子メール設定、お客様の姓名、お客様の誕生日(アカウントに保存した場合)が含まれます。とあなたの電話番号(アカウントに保存している場合)を確認することができます。

(公式発表より引用)※機械翻訳

 

侵害を受けたと思われる会員サイトのIDはメールアドレスだった様です。

f:id:foxcafelate:20201114154917p:plain

 

攻撃側視点で見れば、今回のNorth Faceサイトから窃取した個人情報から攻撃者が直接的な利益を得る事は難しいかと思いますが、パスワードを使い回ししている顧客は、当然の事ながら、他のサイトでも同じID(メールアドレス)とパスワードを使い回ししているかと思いますので、侵入に成功したIDとパスワードを使って他サイトに攻撃をかける事も可能だったかと思います。

 

事件発生が10月8日~9日、North Face側が10月9日に検知して迅速に対応していますが、ユーザーへの発表は、データ侵害通知の日付が11月5日になっていますので、ほぼ1か月ユーザー側は”何も知らされてない状態”となっています。この間に、ハッカー別なサイトに対して侵入に成功したIDとパスワードの組み合わせを使って、新たなパスワードリスト攻撃を仕掛けた可能性は十分に考えられます。

 

f:id:foxcafelate:20201114155406p:plain

 

会員登録の画面を見ると、パスワードの複雑性(8文字以上、大文字小文字、数字)については要求していますが、NIST SP800-63等で推奨する漏えいパスワード辞書との付け合わせ等には対応してなかった可能性を感じます。

f:id:foxcafelate:20201114155101p:plain

 

会員サイト側は、パスワードリスト攻撃にどう対策すべきなのかと考えると、基本は繰り返しのパスワード啓蒙だと思いますが、何年も前から言われている事であり、それでも多くのユーザーがパスワードを使いまわしている現状を考えれば、NISTが推奨する様な漏えいパスワード辞書との比較(漏えいしたパスワード使用の禁止)や、侵害検知/早期遮断(WAFやリスクベース認証)なども検討すべきでしょうし、生体認証(FIDO)等を使った多要素認証への移行も考えるべきだと思います。

 

会員サイト側は、IDとパスワードにセキュリティ対策を安易に寄せユーザーが教科書通りのパスワード管理をしてくれていると盲目的に信じるのは危険です。

 

システム管理者の方は、例えばTroy Hunt氏のパスワード辞書を見てみる(状況が許せば使ってみる)と良いかと思います。このページの下側に過去に漏えいしたパスワードの辞書があり、これをパスワードの登録・変更時に比較すれば、かなり効果があると思います。

haveibeenpwned.com

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

山登りのイラスト

 

更新履歴

  • 2020年11月14日 AM