2019年5月19日 / 最終更新日 : 2020年9月1日 kabufuji ホームページ

自社サイトのユーザーを守るために

先日、下記のようなニュースがありました。

「ユニクロGU通販サイト不正アクセス 約46万件」

参照:毎日新聞 https://mainichi.jp/articles/20190514/k00/00m/040/132000c

ファーストリテイリングは5月14日、運営するECサイト「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」において、顧客以外の第三者による不正なログインが発生したと発表した。現時点で判明している不正ログインされたアカウント数は、「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」で46万1091件。

不正ログインは、2019年4月23日から5月10日にかけて「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われた可能性がある。

閲覧された可能性のある個人情報は次の通り。

  • 氏名(姓名、フリガナ)
  • 住所(郵便番号、市区郡町村、番地、部屋番号)
  • 電話番号、携帯電話番号、メールアドレス、性別、生年月日、購入履歴、
  • マイサイズに登録している氏名およびサイズ
  • 配送先の氏名(姓名、フリガナ)、住所、電話番号
  • クレジットカード情報の一部(カード名義人、有効期限、クレジットカード番号の一部)※クレジットカード番号は、上4桁と下4桁以外は非表示としている。CVV番号(クレジットカードセキュリティコード)は、表示・保存していない

顧客から「身に覚えのない登録情報変更の通知メールが届いた」との連絡があり、調査を実施。不正ログインが試行されたことを確認した。現在、不正ログインが試行された通信元を特定してアクセスを遮断、その他のアクセスについても監視を強化している。

個人情報が閲覧された可能性のある46万1091件のユーザIDについては5月13日にパスワードを無効化。パスワードの再設定依頼をメールで個別に連絡しているという。

ファーストリテイリングはプレスリリースで、次のようにリスト型攻撃への対策などを消費者へ呼び掛けている。

今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測されます。そのため、他社サービスと同じパスワードを設定している場合は、不正ログインの対象となる可能性があります。他社サービスと同じパスワードを設定しないことが、リスト型攻撃を防ぐ方法の1つです。本件に関して個別にご連絡を差し上げているお客様に限らず、他社サービスと同一のユーザID・パスワードをご利用の方は、速やかにパスワードをご変更くださいますようお願いいたします。「リスト型アカウントハッキング(リスト型攻撃)」による不正ログインへの対応策については、総務省が2013年に次のような施策を事業者に向けて公表している。

参照:株式会社ファーストリテイリングプレスリリース https://www.uniqlo.com/jp/corp/pressrelease/2019/05/19051409_uniqlo.html

リスト型アカウントハッキングとは

リスト型アカウントハッキング(リスト攻撃)とは、複数のWEBサービスに同じIDやパスワードを使いまわしているユーザーをターゲットとして、リスト型アカウントハッキング攻撃。あるWEBサービスから流出もしくは不正に入手したID、パスワードのリストを使い、他のWEBサービスに対して不正ログインを試み、成功するとそのアカウントの乗っ取りや個人情報の窃盗を行います。総務省がWEBサイト管理者向けの対策を発表しておりますので下記記載いたします。

攻撃を予防する対策

  • ID・パスワードの使い回しに関する注意喚起の実施
    サービス毎に異なるID・パスワードを設定するよう利用者に注意喚起する
  • パスワードの有効期間設定
    パスワードに有効期限を設定し、利用者に定期的に変更させる
  • パスワードの履歴の保存
    数世代前に使用したパスワードへの変更を認めないようにする
  • 二要素認証の導入
    ID・パスワード以外の認証要素(ワンタイムパスワードなど)を追加する
  • ID・パスワードの適切な保存
    サービス運営事業者において暗号化などID・パスワードの適切な保存を行う
  • 休眠アカウントの廃止
    長期間利用実績の無いアカウントをデータも含めて削除する
  • 推測が容易なパスワードの利用拒否
    パスワード・ポリシーを定め、推測が容易なパスワードの利用を拒否する

攻撃による被害の拡大を防ぐ対策

  • アカウントロックアウト
    同一のIDに対して一定の閾値以上の認証エラーが発生した際にアカウントを一時停止する
  • 特定のIPアドレスからの通信の遮断
    特定のIPアドレスから閾値以上のログイン要求が発生した際に、当該I Pアドレスからの通信を遮断する
  • 普段とは異なるIPアドレスからの通信の遮断
    通常ログインされているIPアドレスとは大きく異なるIPアドレスからのログイン要求が発生した際に、当該IPアドレスからの通信を遮断する
  • ログイン履歴の表示
    ログイン履歴を保存し、利用者がアカウントの利用実績を認識できるように設定する
参照:総務省 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html

まとめ

リスト型アカウントハッキング対策でサイト管理者にとってまず大事なことは「暗号化等、IDやパスワードを安全に保管し、漏洩を防ぐこと」です。しかし、リスト型アカウントハッキングの特徴として、サイト側は自社サイトで十分に保管していても、他サイトでの情報が漏洩してしまった場合、自社サイトが攻撃対象になってしまいます。そのため、ユーザーにパスワード変更の呼びかけや有効期限などの設定をすることで、セキュリティレベルを向上させていくことが重要です。

タグ