通販事業などを行う㈱ディノス・セシールが運営する同社通販サイト「セシールオンラインショップ」へパスワードリスト攻撃を通じた、本人ではない「なりすまし」による不正ログインが発生。
8月24日、同社HPを通じて一部の顧客情報の閲覧と改ざんが行われたことを発表しました。
8月21日に国内の同一IPアドレスより本来の利用者とは異なる第三者が、顧客1名のアカウントへなりすましによる2回の不正ログインが発生。
同社から該当する利用者本人に確認したところ、利用者がログインを行っていない事から不正アクセスが判明しました。
この件による被害は、登録情報(氏名や所有ポイント数)を第三者に閲覧された可能性のほか、第三者のクレジットカード情報が不正に登録され、登録情報が改ざんされていたとのことです。
なお、同社では8月22日にも同様の手口による攻撃を受けていました。今回の不正ログインで使用されたアカウント情報は、同社以外で入手されたものであると説明しており、同社経由の情報流出を否定しています。
これを受けて同社では、ログインした顧客のセシールオンラインショップのパスワードの初期化、特定IPアドレスからのアクセス監視強化、利用者へパスワード管理の徹底を注意喚起しています。
パスワードリスト攻撃とは
パスワードリスト攻撃とは、システム利用者のアカウントへの不正ログインを試みる攻撃手法の事です。
他のサイトやサービスなどから流出したアカウントを用いて、不正にログインを試みる事が特徴として挙げられます。
ユーザーが使用しているアカウント(ID・パスワード)を他のサービスでも使い回して使用している場合に被害を受けやすくなります
<図1>パスワードリスト攻撃のイメージ図
また、2014年にIPAが実施した「オンライン本人認証方式の実態調査」の報告書によると、金銭に関連したサービスサイト(インターネットバンキングやネットショッピングなど)と同一のパスワードを使い回している人の割合が全体の約4分の1(25.4%)という結果が出ており、同一パスワード使いまわしの割合が高いことを物語っています。
<図2>パスワード使いまわしの状況(IPA掲載資料より引用)
パスワードリスト攻撃に対するセキュリティ対策
パスワードリスト攻撃に対する以下のセキュリティ対策をご紹介します。
1.同一アカウント(ID・パスワード)を使いまわししないこと
2.ログイン試行回数を制限すること
※一定回数のログイン試行回数を超えた場合、アカウントログインを停止することで、攻撃を防ぎます。
3.二段階認証を用いること
※ID・パスワードに加えて事前に登録しておいた端末(携帯電話など)に送信された認証コードによりログインを強化できます。
4.アクセス元を制限する
※特定のIPアドレスからの過度なアクセス要求が発生した場合、特定IPアドレスの通信を遮断する事で攻撃のリスクをします。
また、海外からのアクセスなど攻撃の可能性が考えられるリスクも事前に排除する事でリスクを低減しておきましょう。
5.パスワードを適切に管理する
※複雑で長いパスワードをアカウント毎に覚えるのは非常に大変です。紙やデータなどに記載し、第3者に盗難されたり、紛失したりしないよう適切に保管しましょう。
6.パスワードを強化する
※第3者に推測されやすいパスワードを使用していると、不正アクセスなどの被害に遭う可能性が高くなります。
英字(大文字、小文字)や数字を8文字以上に組み合わせて複雑なパスワードにする事が適切です。
パスワード使いまわしの危険性について記載した関連記事もあります。こちらもあわせてご覧ください
パスワード使い回しの危険性