不正アクセス

仮想通貨「NEM」が不正アクセスにより580億円不正送金被害

仮想通貨「NEM」が不正アクセスにより580億円不正送金被害

仮想通貨取引所の「Coin check(コインチェック)」が不正アクセスを受け、約580億円分の仮想通貨「NEM(ネム)」が不正送金被害にあったと仮想通貨取引所を運営するCoin check(コインチェック)社が発表いたしました。 同社によると、1月26日午前3時前頃、仮想通貨の「NEM」が複数回不正に送金されたとのことで、午前11時頃に同社が異常を検知し、問題が発覚しました。 今回の流出事件により、同社は顧客26万人に対して補償を発表。金融庁は本日29日、安全管理体制が不十分だったとして、同社に対し資金決済法に基づく業務改善命令を出しています。 コインチェック不正アクセスの原因 今回の不正アクセスの原因は、同社の通貨管理システムに問題がありました。仮想通貨「NEM(ネム)」をインターネットに常時接続したオンライン環境の「ホットウォレット」に保管していたことやマルチシグを導入していなかった事が挙げられます。 仮想通貨は通常、オフライン環境の「コールドウォレット」で管理を行いますが、同社は人材リソースや技術的理由により「NEM(ネム)」をホットウォレットで管理していました。 <図1>Coin check(コインチェック)不正アクセスのイメージ図 仮想通貨を利用する際のセキュリティ対策 仮想通貨サービスを利用する際、個人でできる主なセキュリティ対策をご紹介します。 1.セキュリティ対策ソフトを利用する 2.フリーWi-Fiを用いてネットに接続しない ※フリーWi-Fiは誰でも利用できて便利な一方、通信が暗号化されていないため、パスワードなどが丸見えになってしまいます。フリーWi-Fiで取引所にログインする際、パスワードを盗まれてしまう危険性があります。 3.パスワードを使いまわししない ※他のサービスからアカウントが流出した際、仮想通貨を登録しているアカウントに対して不正アクセスを受ける危険性があるため、パスワードの使いまわしは控えましょう。 4.多要素認証を使用する ※アカウントへの不正ログインが行われた際、認証を何十にも行うことでアカウントへの不正ログインを防ぎます。 5.ハードウェアウォレットを使用する ※取引所がクラッキングを受けて通貨が盗難された際に、オフライン環境の外付けの記憶媒体に資産の一部を移すこでリスクを低減します。 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら
TOKYOMXのWebサイトへ不正アクセス。37万人分の視聴者情報流出

TOKYOMXのWebサイトへ不正アクセス。37万人分の視聴者情報流出

TOKYOMXは10月4日、同社Webサイトへの不正アクセスを受け、視聴者情報37万人分が流出したと同社Web上で発表を行いました。 同社によると、流出した視聴者情報は、一部番組のコメント用フォームから投稿された氏名とメールアドレス約1270件、およびニックネームとメールアドレスのべ37万件との事。 不正アクセスが発覚したのは、10月3日。同社Webサーバへのアクセスの異常値が検知されたため、調査したところ外部からの不正アクセスが発覚。サーバの一部プログラムの脆弱性を悪用された事が原因とみられている。 同社は、不正アクセスの発覚後、原因となったコメントフォームを利用停止し情報流出拡大を防ぐ対策を講じたとのこと。なお、今回の不正アクセスでは住所、電話番号、クレジットカード情報は含まれていないとのこと。 不正アクセスの流れ 不正アクセスによる情報漏洩の被害は今となっては珍しいことではなく、身近なリスクとなってきました。不正アクセスはどの様に行われ、何が行われるか、事前準備から情報窃取までの段階に至るまで段階別に応じて主な流れを紹介します。 1.事前調査 フットプリンティング 攻撃を行う前に攻撃対象の弱点を調べる情報収集を行う下見の事です。 ポートスキャン 不正アクセスを行う前に攻撃対象のポートに抜け穴がないかチェックする行為です。 2.不正アクセス(権限取得) ■パスワードクラックを用いた攻撃手法 辞書攻撃 人名・地名など辞書に載っているような言葉や誕生日などを組み合わせて解読を行う方法の事です。 ブルートフォースアタック(総当たり攻撃) 推測されうるパスワードを全て総当たりで試してログインを行う攻撃のことです。 パスワードリスト攻撃 他のサービスで流出したアカウントを利用して不正アクセスを行う攻撃のことです。ID・パスワードを別サービスで使いまわして利用しているケースを悪用した攻撃のことです。 ■脆弱性を悪用した攻撃手法 OSコマンドインジェクション 内部でOSコマンドを呼び出すWebアプリケーションの脆弱性を悪用し、外部から不正なOSコマンドを実行させる攻撃のことです。 SQLインジェクション 内部のデータベースと通信するWebアプリケーションの脆弱性を悪用し、外部からデータベースに不正なSQLコマンドを実行する。 クロスサイトリクエストフォージェリ(CSRF) 情報の書き込み、設定の変更、注文の確定等を行うWebアプリケーションへ直接リクエストを送信するような罠ページへユーザーを誘導する攻撃のことです。 クロスサイトスクリプティング(XSS) 動的に生成されるページの脆弱性を悪用し、任意のタグやスクリプト等を埋め込むよう仕向ける攻撃です。 3.不正を実行 盗聴…通信を流れるデータを盗聴し情報を不正入手します。…
セシールオンラインショップへパスワードリスト攻撃による不正ログイン。顧客情報が改ざん

セシールオンラインショップへパスワードリスト攻撃による不正ログイン。顧客情報が改ざん

通販事業などを行う㈱ディノス・セシールが運営する同社通販サイト「セシールオンラインショップ」へパスワードリスト攻撃を通じた、本人ではない「なりすまし」による不正ログインが発生。8月24日、同社HPを通じて一部の顧客情報の閲覧と改ざんが行われたことを発表しました。 8月21日に国内の同一IPアドレスより本来の利用者とは異なる第三者が、顧客1名のアカウントへなりすましによる2回の不正ログインが発生。同社から該当する利用者本人に確認したところ、利用者がログインを行っていない事から不正アクセスが判明しました。 この件による被害は、登録情報(氏名や所有ポイント数)を第三者に閲覧された可能性のほか、第三者のクレジットカード情報が不正に登録され、登録情報が改ざんされていたとのことです。 なお、同社では8月22日にも同様の手口による攻撃を受けていました。今回の不正ログインで使用されたアカウント情報は、同社以外で入手されたものであると説明しており、同社経由の情報流出を否定しています。 これを受けて同社では、ログインした顧客のセシールオンラインショップのパスワードの初期化、特定IPアドレスからのアクセス監視強化、利用者へパスワード管理の徹底を注意喚起しています。 パスワードリスト攻撃とは パスワードリスト攻撃とは、システム利用者のアカウントへの不正ログインを試みる攻撃手法の事です。 他のサイトやサービスなどから流出したアカウントを用いて、不正にログインを試みる事が特徴として挙げられます。 ユーザーが使用しているアカウント(ID・パスワード)を他のサービスでも使い回して使用している場合に被害を受けやすくなります <図1>パスワードリスト攻撃のイメージ図 また、2014年にIPAが実施した「オンライン本人認証方式の実態調査」の報告書によると、金銭に関連したサービスサイト(インターネットバンキングやネットショッピングなど)と同一のパスワードを使い回している人の割合が全体の約4分の1(25.4%)という結果が出ており、同一パスワード使いまわしの割合が高いことを物語っています。 <図2>パスワード使いまわしの状況(IPA掲載資料より引用) パスワードリスト攻撃に対するセキュリティ対策 パスワードリスト攻撃に対する以下のセキュリティ対策をご紹介します。 1.同一アカウント(ID・パスワード)を使いまわししないこと 2.ログイン試行回数を制限すること ※一定回数のログイン試行回数を超えた場合、アカウントログインを停止することで、攻撃を防ぎます。 3.二段階認証を用いること ※ID・パスワードに加えて事前に登録しておいた端末(携帯電話など)に送信された認証コードによりログインを強化できます。 4.アクセス元を制限する ※特定のIPアドレスからの過度なアクセス要求が発生した場合、特定IPアドレスの通信を遮断する事で攻撃のリスクをします。また、海外からのアクセスなど攻撃の可能性が考えられるリスクも事前に排除する事でリスクを低減しておきましょう。 5.パスワードを適切に管理する ※複雑で長いパスワードをアカウント毎に覚えるのは非常に大変です。紙やデータなどに記載し、第3者に盗難されたり、紛失したりしないよう適切に保管しましょう。 6.パスワードを強化する ※第3者に推測されやすいパスワードを使用していると、不正アクセスなどの被害に遭う可能性が高くなります。 英字(大文字、小文字)や数字を8文字以上に組み合わせて複雑なパスワードにする事が適切です。 パスワード使いまわしの危険性について記載した関連記事もあります。こちらもあわせてご覧ください パスワード使い回しの危険性 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら
国交省サイトへ不正アクセス、登記情報約19万件流出

国交省サイトへ不正アクセス、登記情報約19万件流出

6月6日、国土交通省は、同省が運営するWebサイト「土地総合情報システム」内の機能である「不動産取引価格アンケート(電子回答)」のサイトへ不正アクセスを受け、登記情報やアンケートの回答が流出した可能性があると発表しました。 流出したアンケートの回答情報は、2017年4月7日から6月2日までに同サイト上で作成された不動産取引価格アンケート回答の情報(氏名・法人名、契約日、取引価格等最大4,335件)と所有権移転登記情報(登記原因日、地番、地目、面積(登記名義人の名称を除く)。最大194,834件)との事です。 今回の不正アクセスの原因は、Webアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用した不正プログラムの設置によるものと国交省は発表しています。 さいごに 国交省によると、2017年6月2日に「土地総合情報システム」の電子回答システムの緊急停止を行っており、今後については、個人情報流出の有無について調査を行い、システム監視の強化や再発防止対策を検討中との事です。   今年4月にも総務省が運営するサイトにも「Apache Struts 2」の脆弱性を利用した攻撃が発生しており、大手企業や官公庁を狙った攻撃が相次いでいました。 関連記事はこちらから 総務省サイトへ不正アクセス、約2.3万人の個人情報漏洩 Apache Struts2の脆弱性を突く攻撃被害が相次ぐ 日本郵便へ不正アクセス、個人情報約2万9千件情報流出 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら
総務省サイトへ不正アクセス、約2.3万人の個人情報漏洩

総務省サイトへ不正アクセス、約2.3万人の個人情報漏洩

総務省は4月13日に、政府統計システムの地図情報サイト「地図による小地域分析」(jSTAT MAP)がWebアプリケーション「Apache Struts 2」の脆弱性を突いた不正アクセスを受け約2.3万人分の個人情報漏洩が発生したと発表しました。 原因は、同サイトで利用していたWebアプリケーション「Apache Struts 2」の脆弱性を利用され、不正プログラムを仕掛けられたことによる情報窃取の被害を受けたことです。 漏洩した個人情報は、公表済みの統計情報に加え、サービス開始の2013年10月以降にユーザー登録した約2万3000人分の個人情報(氏名、性別、年齢、職業、会社・学校名、電話番号、メールアドレス、サイトの利用目的など)と利用者がアップロードした情報とのことです。 今後の対応について 総務省によると、4月11日正午に同サイトを停止しており、サイト停止以降の情報漏洩はないとのことです。 なお、同サイトを利用したことにより、ユーザーPCへのウイルス感染などの影響はないと否定しています。 同サイトの再開については、不正アクセスや情報漏洩対策を行った上でサービスを再開予定。 セキュリティ対策については、脆弱性解消やシステム監視強化に取り組むとのことです。 <図1>地図による小地域分析(jSTAT MAP)」より引用 さいごに 「Apache Struts 2」の脆弱性を利用した攻撃は、日本郵便、沖縄電力、ニッポン放送などでも同様の攻撃を受け、個人情報漏洩の被害が発生しました。 関連記事はこちらから Apache Struts2の脆弱性を突く攻撃被害が相次ぐ 日本郵便へ不正アクセス、個人情報約2万9千件情報流出 Webサイトの脆弱性を突いた攻撃が相次いでいます。修正パッチが発表された際は、速やかにバージョンアップを行うことで脆弱性を解消しておきましょう。 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら
Apache Struts2の脆弱性を突く攻撃被害が相次ぐ

Apache Struts2の脆弱性を突く攻撃被害が相次ぐ

Webアプリケーションフレームワークの「Apache Struts2」の脆弱性を突いた不正アクセスやWebサイト改ざんなどの被害が相次いで発生しています。 「Apache Struts2」の脆弱性による危険性はIPA(情報処理推進機構)やJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)などから3月8日に既に注意喚起が行われていました。 セキュリティベンダー大手のラックによると、3月7日から「Apache Struts2」脆弱性に対する攻撃が増加しており、3月9日だけで攻撃被害や重要インシデントが10件超発生したとのこと。 攻撃手法は、ウェブサイトへのバックドアの設置やIPS/IDSによる検知回避を狙ったSSL・TLS暗号化通信を介しての攻撃が観測されています。 また、今回の攻撃の特徴の一つとして、URLへ攻撃コードを埋め込むのではなく、「Content-Type」というHTTPのヘッダーに挿入されることから、ログの取得設定にもよるが攻撃の痕跡がログに残らない可能性も指摘されています。 <図1>インシデント通知推移(ラック掲載資料より引用) 沖縄電力運営Webサイトへの攻撃被害 3月15日、沖縄電力によると、同社が運営するWebサイト「停電情報公開サービス」が「Apache Struts2」の脆弱性を突かれ、第3者による不正アクセスによる情報漏洩、またはWebサイトの改ざん被害が発生しました。 同サイトの希望者に停電情報を配信する「メール配信サービス」に登録している顧客情報6478件(メールアドレス、ニックネーム、停電情報の配信希望地域)が情報流出した可能性が高いとのことです。 ニッポン放送のWebサイトへも攻撃被害 3月17日ニッポン放送は、同社が運営する音声ネット配信サービス「Radital(ラジタル)」のWebサイトが不正アクセスを受け、サイトの改ざん被害と個人情報が流出したとの発表を行いました。 同社のサイトへの不正アクセスは、沖縄電力運営サイト同様に、「Apache Struts2」の脆弱性を利用したものでした。 流出したとされる個人情報は、「Radital」の商品発送フォームから作成された 氏名・住所・電話番号・メールアドレス11,330件(2012年10月18日~2017年3月1日の期間の利用者)。 「Radital」会員のメールアドレス・ニックネーム・生年月45,984件(2012年9月3日~2017年3月11日の期間の登録者)とされています。 ※氏名・住所・電話番号・クレジットカード情報は含みません。 さいごに 「Apache Struts2」の脆弱性に関して注意喚起が行われている中で、脆弱性を利用した攻撃被害が相次いで発生しました。 被害にあった中には、「Apache Struts2」の脆弱性について把握していながらも、対応協議中に被害に遭うケースなどもあったようです。 なお、今回の件は公式サポートが終了した「Apache Struts 1」への影響は不明とのことです。 影響を受けるバージョンは下記のバージョンです。…
日本郵便へ不正アクセス、個人情報約2万9千件情報流出

日本郵便へ不正アクセス、個人情報約2万9千件情報流出

3月13日、日本郵便は同社が運営する「国際郵便マイページサービス」へ第3者による不正アクセスが発生し、約2万9千件のメールアドレスと送り状約1100件の情報が流出したとの発表を行いました。 同社が運営する「国際郵便マイページサービス」とは、EMSや国際小包、国際書留を発送する際の送り状やインボイスの作製サービスを提供しているサイトです。 不正アクセスにより流出した情報は、3月12日から3月13日の間に「国際マイページサービス」上で作成された送り状約1100件とメールアドレス(顧客情報)約2万9千件との事です。 今回の不正アクセスはアプリケーションフレームワーク「Apache Struts2」の脆弱性(CVE-2017-5638)を利用されたことが原因とされています。 同サイトの閲覧によるマルウェア感染はないとの事です。 Apache Struts2とは 「Apache Struts2」とはアメリカにあるオープンソースソフトウェアの開発を支援するApache Struts財団が開発したウェブアプリケーションのフレームワークのことです。Apache Struts財団によりオープンソースソフトウェアとして無償で提供されているものです。 さいごに 同社の発表によると被害にあったページは、3月13日にサービスを緊急停止し、対策を講じた上で3月14日に復旧を行ったとのこと。 今後の対応策について、情報流出した可能性のあるユーザに対して個別に連絡を行い、システムの監視を強化する事で再発防止を強化するようです。 また、IPA(情報処理推進機構)やJPCERT/CCなどは「Apache Struts2」の脆弱性を悪用した攻撃の危険性を指摘しており、Web上で注意喚起を行っています。 開発元のApache Software財団により、脆弱性を修正した最新バージョンが公開されているため、最新バージョンに更新する事で、脆弱性を解消しておきましょう。 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら