「セシール」のサイトが不正アクセス被害 高い確率でログイン成功のなぜ、新客登録時の二重登録防止機能悪用、精度高めたリストで攻撃
2018年 6月14日 09:42
新規顧客登録時の二重登録防止機能を悪用し、リストの精度を高めた上での攻撃か。ディノス・セシールが運営する通販サイト「セシールオンラインショップ」で事前に何らかの形で不正取得したらしいID・パスワードを使った"なりすまし"による不正アクセスが6月2日に発生した。
同社によると同日に中国のIPアドレスから本来の利用者とは異なる第三者が不正にログインを試みる「パスワードリスト攻撃」を受け、不正なアクセスを受けた1938件のうち、490件が実際にログインされ当該顧客の氏名や保有ポイント数を閲覧された可能性があるという。なお、クレジットカード情報を閲覧された可能性はないようだ。また、当該情報は外部にファイルとして出力・転送・ダウンロードされていないことは確認しているという。
「多くの人が複数の通販サイトで同一のID・パスワードを使用している」という事実を逆手にとり、どこか別の通販サイトなどから流出したログインIDおよびパスワード(PW)を使って、別の通販サイトのログインページに侵入する「パスワードリスト攻撃」は不正アクセスによく用いられる常套手段だ。
ただ、攻撃者が入手したID・PWは攻撃対象の通販サイトでは無効な場合も多い。なぜならID・PWを使いまわしていないユーザーももちろんおり、そもそも攻撃者が入手したID・PWのユーザーが攻撃対象サイトでは購入実績のない場合もあるからだ。攻撃者はそれを見越した上で「一致する可能性」にかけ入手した大量のID・PWを、"無駄打ち"し、不正ログインの試みるわけで、実際にログインが成功する率はかなり低くなるわけだ。
しかし、今回の「セシール」のサイトのケースでは1938件のアタックのうち、490件がログインに成功。つまり、攻撃者からすると25%という高確率で「ログインできた」ということになる。この異常な確率でのログイン成功の理由は「"無駄打ち"を排除した攻撃」によるもののようだ。
前述した通り、「パスワードリスト攻撃」は攻撃者が事前に入手したID・PWを攻撃先のサイトにとりあえずぶつけて、不正ログインを試行するわけだが、今回のディノス・セシールの通販サイトのように特定のIPアドレスから一定数を超えるアクセスがあった場合、自動的に遮断する仕組みを導入したり、日常的に不正アクセスへの監視を強化しているところは増えてきており、不正ログインが成功する前に、遮断するなどの対策をとられることも増えてきている。
今回も中国のIPアドレスからの攻撃がはじまった6月2日の午前10時19分から同22分までの3分間という短時間で当該IPアドレスからのアクセスを遮断し不正アクセスは84件でとどめた。しかし、遮断するたびに攻撃者は中国の別のIPアドレスからの攻撃に切り替え、攻撃を続行。ディノス・セシール側は都度、"遮断"する対応を行い、同日の午後6時ころにプロバイダー単位でのアクセス遮断に踏み切るまで実に201個のIPアドレスからかわるがわる続いた攻撃を遮断し続けた。こうした対処により、10時から約8時間にわたった攻撃の中で不正アクセスを1938件まででしのいだわけだが、高い確率で不正ログインは成功してしまった。それは不正アクセスに使用された1983件のID(メールアドレス)のすべてが実際に「セシール」に登録された顧客のIDと一致していたため。つまり、IDに関しては一切の無駄打ちがなかったからだ。
不正アクセスに使用されたIDすべてが一致するという事態を受けて当初、同社では「事前に何らかの形で当社から流出していた可能性が高いのでは」と考え、流出の経路や事実関係について社内調査を進めていたが、顧客情報アクセスログなどを確認した結果、「不正なアクセスログは検知されなかった」(同社)という。そのため、原因究明を図るために6月6日に外部のセキュリティ専門会社のTISに調査を依頼したところ、ディノス・セシールから顧客のメールアドレスが流出したのではなく、「セシールオンラインショップ」の新規顧客登録申請時の二重登録防止機能を悪用してリストを"スクリーニング"していたことが判明したという。
攻撃者が実施した可能性が高いという「リストのスクリーニング」の流れはこうだ。まず、攻撃者が事前に外部で入手したID・PWのリストのうち、ID(メールアドレス)を使って、「セシール」のサイトで新規顧客登録申請を行った。「セシール」のサイトでは二重登録を防ぐために、すでに登録があるメールアドレスでは顧客登録できない仕組みを導入しているため、"登録済み"として新規登録できなかったメールアドレスは、「セシール」のサイトで顧客登録のある"有効なID"であるということになる。その有効なIDのみを使い、事前取得済みの当該IDと紐づくPWを組み合わせた「精度の高いリスト」で、セシールのサイトで不正ログインを試行したというものだ。
同社によると「リストのスクリーニング」実施の裏付けとして、不正アクセスのあった当日の午前12時ころから、16万5038件という通常よりも大量な新規顧客登録申請があったという。そのうち、"登録済み"として新規顧客登録できなかったのが3533件だったが、同日の午前10時過ぎからあった1938件の不正アクセスのすべてがその3533件に含まれていたという。
同社では不正ログインされた490人の顧客にはサイトへのログイン機能を停止した上で、メールで不正ログインが行われた事実などを説明した。希望する顧客には新たなIDでの再登録を促している。また、不正ログインには至らず、不正アクセスのみを受けた1448人および攻撃者がスクリーニングによって保有していると思われる1595件の顧客にも今回の攻撃の経緯や注意喚起を促すなどの対応を行っているという。今回は不正アクセスや不正ログインによって、クレジットカード情報が閲覧されたり、不正注文が発生するなどの実被害は出てはいないが、複数のセキュリティの専門家によれば、そもそも今回の攻撃は不正注文で商品をだまし取るなどの「その場での稼ぎ」が目的ではなく、「入手したリストの価値を高め転売益を稼ぐこと」が目的ではないかとする。つまり、新規顧客登録ではじかれたID、要は複数の通販サイトで使いまわしている可能性が高いメールアドレスを確認し、さらにログインに成功したID・PWでは「セシール」での購入履歴などをさらに紐づけてリストの価値を高めた上で、高い価格で転売できるようにする目的である可能性もあるようだ。
ディノス・セシールでは今回の件を受けて「今後、お客様の利便性を損ねないような形でのセキュリティレベルの強化策の実施に向けて協議している」(同社)としている。だが、「ユーザーのID・パスワードの使いまわし」が問題の根本であるだけに企業側での対策だけでは対処が難しいのが実情だ。
