블로그 이미지211203

メタバース普及に伴うセキュリティリスク、そして対策について解説

前回、メタバースについてくわしく解説しました。詳しくは下記の記事を参考にしてください。

世の中でほとんど常識の「メタバース」、まだ見ぬ未来にもたらすインパクトとセキュリティ対策について

 

メタバースの空間では声だけでなく仕草などの存在感も感じられ、実際に会っているような感覚で話せることからビジネスでのコミュニケーションの面でも注目されています。今回は、最近になって関心を向けられているメタバースにおけるサイバーセキュリティと生じる可能性があるリスクについて考えてみます。

 

メタバースの特徴2

このメタバースは次世代における、生活や産業などの経済活動を営む上で不可欠な社会基盤とも言われており、Facebook、Googleなど世界中の企業から注目を集めていますが、この世界に「メタバース」と呼ばれるものを、細部まで正確に成り行きや結果について前もって見当をつけて説明できる人はいないとも言われています。それほど新しい概念となっているため、メタバースを現実のものとすることがもしも叶うならば、インターネットの次のインフラと言われるほどの世の中を変える大きな動きをもたらすでしょう。インターネットが世の中に登場する以前の人々がインターネットの全貌を予測できなかったように、私たちもメタバースというものを予測できないのです。しかし現時点における本質的な思考において把握される、メタバースの『何たるか』という部分をよくわかるように述べることは不可能ではありません。

  1. 無限の期間に存在することのできる特性がある
    インターネットの世界ではスイッチをオフにしてしまえばそこで終了ですが、現実世界には終わりがありません。この意味でメタバースは現実世界に近い無限の期間に存在することのできる特性があること。
  2. 自分の主体性がある
    ここでの主体性とは自分そのものを現示するアバターのことで、人間の創造的活動により生み出されるどのようなものであっても変わらずに使用できること。
  3. 現実世界と内容や情報が一致している
    常に現実世界と仮想世界の内容や情報が一致しており、時間が一致していること。
  4. 何時でも無条件で場所を選ばずに参加できる
    接続できる人数に制限がなく、特殊な場合についてでなく広く認められ公開されているということ。ひとつの場所に制限がなく接続できること。
  5. 自社の経済波及効果を持っている
    個人や企業が、仮想空間内でサービスの開発・売買・投資・保有、さらに作ったものに対して報酬が支払われること。これらが現実世界でこうあるべきだと決められた規則から独立して行われること。
  6. 多種多様のコンテンツ
    ゲームやスポーツ、アーティストの生演奏観覧をファーストステップとして、ファッションショーやトークショーなどリアルで実施されてきたイベントを行えること。

現在において、確定的事実としてではありませんが考証推測できるメタバースの特徴はこれくらいでしょうか。共通して考えられることは、現実の世界を構成する個々の部分とほぼ変わらない固有の働きを備えているということでしょう。

 

メタバースで配慮しなければならないサイバーセキュリティとリスク

現実空間と似通っているエクスペリエンスができてしまうメタバースは、まだ見ぬ未来多種多様な場面において役立てるシーンが広がるものと考えられます。これまでのインターネットサービスと相違するメタバースで、推しはかれるリスクにはいったいどんなものがあるでしょうか。これからバーチャルな空間で生活する場面が増えていく時代を迎え入れるに際して、いったいどんなリスクが存在するのかを考えることはきわめて大切なことです。

リスクモデリング手法「STRIDE」

メタバースにおけるリスクを考える上で、リスクモデリング手法である『STRIDE』を使用します。STIRDEはマイクロソフト社によって提唱されたリスク導出の方法で、サービスにどのようなリスクが考えられるのかを次の6つの観点で網羅的に分析できます。

  1. Spoofing identify:なりすまし
    正規の利用者に悪意のある攻撃者がなりすます
  2. Tampering with data:改ざん
    データの悪意ある書き換え
  3. Repudiation:否認
    攻撃の証拠を隠滅し身元を隠す
  4. Information disclosure:情報漏えい
    秘匿すべき情報が窃取または公開される
  5. Denial of service(DoS):サービス拒否攻撃
    サービスを止めてしまい使えなくする
  6. Elevation of privilege:権限昇格
    管理者の権限を不正に奪い悪用する

これらの6つのリスクカテゴリーの頭文字をとってSTRIDEとされています。本来は対象となるサービスのデータフローを図式化し、フローごとに詳細な上記の観点で分析を図っていきますが、ここでは簡易的にメタバースで起こり得るリスクについてSTRIDEの観点で考えてみます。

 

Spoofing identify(なりすまし)

メタバースにおけるなりすましは利用者の存在それ自身を脅して恐怖を抱かせます。記録や情報が盗んで持ち出される情報漏えいだけでなく、無断で情報がやり取りされるといった被害が発生することによって、本人の心当たりがないところで信頼性を失墜させる可能性があります。メタバースの利用用途が広がれば、勝手な契約や詐欺などに悪用される恐れもあります。攻撃者は次のような手順で利用者へのなりすましを行うと考えられます。

  • 認証情報(IDやパスワード)の窃取
    メタバースに接続するための認証情報が狙われるため、サービス運営者を騙ったフィッシングによる窃取や辞書型や、リスト型攻撃による不正ログインなどが考えられます。運営者側では多要素認証の導入、利用者側は他のサイトとのパスワードの使い回しをしないといった対策が有効です。アバターモデルデータやワールドデータが認証情報に紐づけられて登録されているため、認証情報の維持管理はいいかげんにせずきびしい態度で対処する必要があります。
  • アバターモデルデータの窃取
    メタバースで使われているアバターモデルは現実のトレンドとほとんど同じであることによって、自分自身の姿に手を加えて他と比較して異なる個性をもった好みのものに作り変えられるため、利用者の人格を正しく理解する上で重要視されるべき要素となっています。その人個人のアバターモデルが他人に悪用されてしまうと、他の利用者から視覚的に見分ける方法はありません。アバターモデルデータを窃取するには、正当と見なされる手段や方式を用いないログインやメモリーに展開されているキャッシュデータからの抽出、サーバ上に保存されているデータの取得が考えられます。これらのリスクには、サーバやクライアントアプリを含めたサービス提供側でのデータの抽出や解読を困難にする仕組みの導入などの対策が求められ、サーバ上に保存されているデータについても暗号化や権限管理による制限が必要となります。
  • 他人を装った利用者
    アーティフィシャル・インテリジェンスなど高度な合成技術を用いて作られた、本物と見分けがつかないような偽物の動画である『ディープ・フェイク』が大きな問題になっていますが、メタバースでの人格のなりすましはまさに魂のディープ・フェイクと言えるでしょう。アバターモデルデータの窃取と同様に、他人を装った利用者の存在もリスクと考えられます。相手の存在をアバター・声・しぐさ・名前といった現実よりも条件が制約されており、行動や判断の範囲に一定の限度がある情報で認識しているため、他人のアバターを窃取することによって、声や動きを合成音声やしぐさの解析で再現できるため、メタバース内でのみ顔見知りである人にとっては本人と見分けることはこの上なく困難なものと言えます。メタバースを通して利用者に提供するサービスについて思慮をめぐらす際は、こういったなりすましを考慮に入れた本人確認のメカニズムを考えなければなりません。

 

Tampering with data (改ざん)

メタバースでは、利用者が作り上げたアバターやワールドのデータを複数の利用者が共に利用できる仕組みを備え持っているため、攻撃者による改ざんは制作した利用者の意図とは異なる動作によって他の利用者への被害を生む恐れがあります。

  • ワールドデータの改ざん
    メタバースでは、通常の限界を超えた色の変化や光のハイスピードな点滅といった神経を過敏に反応させる問題のある演出効果を、利用者の視界全体に表示させる嫌がらせが問題となります。これらは心理的・精神的な悪影響だけでなく、嘔吐や倦怠感などの身体的な被害を生じる場合があり、最悪の場合重大な症状のきっかけとなる恐れがあります。攻撃者がワールドデータを改ざんすることでこういった効果を埋め込むことによって、訪れた善意の利用者に被害を生じさせるといった不正行為が考えられるため、利用者のアバターモデルと同じ方法でサービス提供側におけるワールドデータの保護が所望されます。
  • プロファイル情報の改ざん
    メタバースでは、オンラインゲーム同様にこの人は信じられる、頼りにできるなどと他人から評価される度合いをスコアリングした、信頼度レベルシステムを搭載しているサービスもあります。こういった信頼度スコアは、メタバース内における社会性のある互いを大切に思う結びつきといったアクティビティを積み重ねることによって、スコアがレベルアップするように設計されています。こういった値が改ざんされてしまうと、つくり終えて間のないアカウントでも他の利用者に被害をもたらすようなワールドやアバターデータを共有することが可能になる危険性があります。

 

Repudiation(否認)

否認とは、サービス上での操作履歴を跡形もなく消すことによって、不正行為のエビデンスを無くし攻撃者の特定をできなくするリスクです。過去に蓄積された情報から攻撃者を特定することが困難となるため、状況に合わせた適当な処置をとることがほぼ不可能となります。メタバース上では、サービス内に保存されている過去にどういった行動をしたかという情報の改ざんや、操作の順序と回数を記録した情報の改ざんなどによる否認が考えられます。

 

Information disclosure(情報漏えい)

情報漏えいは、情報を保持すべき当事者以外の第三者が不正に情報を入手するリスクです。

  • メタバース空間内での盗聴・盗撮
    現実世界と同じようにメタバース空間内においても盗聴・盗撮といった悪い結果を招く可能性があります。アナログな現実世界をデジタル・コピーした世界であるメタバース空間においては、原理上『見えない』アバターの存在が可能で、ひとつのワールドデータを基にして同時に複数の世界を生成できます。このようなメカニズムはワールドのインスタンス化と呼ばれています。プライバシーを提供するために作成されたインスタンスにおいては、プライベートな内容や守秘義務が課されるような会話が行われているかもしれません。こういったインスタンスに第三者がアクセス可能である場合、目に映らないアバターを通して発言や行動などといったものが盗聴・盗撮されてしまう恐れがあります。サービス側におけるインスタンスの権限管理が行われることはもちろん、利用者側も接続に必要なインスタンス認証情報の取り扱いに注意が必要です。
  • メタバース空間に仕組まれた盗聴器や隠しカメラ
    ワールドのメカニズムを悪用することによって、そのワールドに訪問した利用者の行動や発言を記録される可能性が考えられます。盗聴器や隠しカメラと同様にワールドデータ内に仕組まれた音声や画像を採録するメカニズムによって、そのワールド内での利用者同士の会話や出来事が、知らない間に録音・撮影され第三者に送信されているかもしれません。このような機能の悪用を防ぐには、サービス側でワールドを作成する機能に対して通信先の制限や使用可能な機能の制限などを適切に行う必要があります。アバターを通してメタバース空間内で行われるコミュニケーションは、そのことに直接関係する人にとっては現実世界と同様に現実味を帯びた体験と等しい価値を持ちます。これらに対する盗聴・盗撮は体験以外の何ものでもないものの窃取と言えるため、リアル世界と同等に深刻な問題となります。

 

Denial of Service(サービス拒否)

いわゆるDoS攻撃とも呼ばれるもので、コンピュータの負荷を上昇させることによって、サービスの提供を不可能にするリスクです。

  • 利用者のパソコンに対するDoS攻撃
    ワールドやアバターを気持ちの赴くままに開発できるメタバースでは、利用者が仮想空間への接続に使用しているパソコンに対するDoS攻撃が考えられます。表示させた瞬間にパソコンが突然に異常終了してしまうアバターや、接続した瞬間にオーバーロードで表示が止まってしまうようなワールドなど、利用者が制作可能な機能を悪用した攻撃は実際に既存のメタバースでも問題となり様々な手段で対策が行われてきました。盗聴対策と同様に、アバターやワールドの表示や処理負荷に対して満たさなければならない条件についての決まりごとを設定して、アップロード時に検査するなどの処置が必要となります。

 

Elevation of Privilege(権限昇格)

権限昇格は、一般の利用者のアカウントを不正な方法によって管理者に昇格し、通常では使用できない管理機能の使用を可能にするリスクです。

  • プロファイル改ざんによるスーパーユーザ権限の取得
    サービスの仕様によっては、ユーザプロファイルにおける権限フラグ設定などを改ざんし、スーパーユーザ機能を有効にする攻撃が考えられます。

 

まとめ

メタバースが普及するようになると今後ビジネスコミュニケーションを大きく変えることになるでしょう。しかし、現在ではゲーム、教育、会議など、特定の分野での活用にとどまり、まだ限界があるのも事実です。最も懸念されるものがセキュリティです。メタバースがこれからどのように進展いくのか分からないということ、そして現在メタバースがインターネット上で構築されている以上、Webシステムにまつわる全てに脅威について徹底して対策していく必要が求められます。

 

Cloudbricのご紹介

https://www.cloudbric.jp/cloudbric-security-platform/

 

カード情報漏えい

個人情報がつまったECサイトが狙われている!ECサイトが受ける不正アクセス攻撃とリスクについて徹底解説 その2

前回、ECサイトが受ける不正アクセス攻撃による「個人情報漏えい」のリスクについてご紹介しました。2回目となる今回はもうひとつのリスク、「クレジットカードの不正利用」について解説していきたいと思います。ネット利用が普及し生活が便利になる一方で、日々、多くのECサイトでクレジットカード情報漏えい事故が起こっています。ECサイトの担当者へのアンケートによると、49.1%が「ECサイトに対してサイバー攻撃を受けたことがある」と回答しています。ECサイトの立ち上げを検討している担当者は、ECサイトの最も大きいセキュリティリスクである「クレジットカード情報の漏えい対策」を行う必要があります。

 

クレジットカード決済で不正利用が起こる原因

クレジットカードは、現代における生活の必需アイテムになっています。クレジットカードがあれば、手持ちの現金がなくても実店舗で買い物できますし、ネット通販でも手軽に決済できます。とても便利なものですが、クレジットカードは悪意ある第三者によって不正利用されてしまうリスクがあることも心得ておかなければなりません。そして近年、ECサイトが不正アクセスを受け、顧客情報の他に、クレジットカード情報が漏えいする事件が相次いでいます。

日本クレジット協会の発表によると、2018年のクレジットカード不正利用被害額は235.4億円、2019年は上半期だけで137億円となっています。金額も増加していますが、比率がそれ以上に増加していて、クレジットカードの持ち主が意図しない不正利用がECサイトなどで多発していると言えます。クレジットカード決済で不正利用が起こる原因とその手口は、以下のものがあげられます。

フィッシング

フィッシングとは、金融機関などの有名企業を詐称したメールを送り付け、本文のURLをクリックさせることで偽サイトに誘導し、不正にIDとパスワードなどを詐取する詐欺行為のことです。設定変更や機能追加を行うためとしてメール本文のURLをクリックさせ、本物とそっくりのフィッシングサイトに誘導し、ID、パスワード、口座番号などを入力させ、これらの情報を搾取することを目的としています。近頃よく見られる手法に、Office 365のようなクラウドアプリケーションのログイン認証情報を盗み出すためにも使われます。ハッカーは、自分のOffice 365アカウントにログインして、プラットフォームへのアクセスの再取得、共有ファイルの回復、アカウント情報の更新など実行するように促すメールをユーザーに送信します。

フィッシングの一種であるスピアフィッシングと呼ばれる攻撃手法もあります。フィッシングは不特定多数の人へ行われるのに対し、スピアフィッシングは特定の標的を狙って行われます。フィッシングは大量配信攻撃であり、比較的広範囲に罠を仕掛けます。スピアフィッシング攻撃は槍(spear)を突き刺すように標的を定めて攻撃を行うため、騙されやすく非常に危険な攻撃です。メールによるスピアフィッシング攻撃は、日本では「標的型攻撃メール」とも称されます。スピアフィッシング攻撃は、事前に情報収集を行った結果を元に標的に狙いを定めて攻撃を行うため、精度が高いという特徴を持ちます。

スキミング

「スキミング」というのは、クレジットカードの情報を不正に入手して、まったく同じ偽造カード(クローンカード)を作って不正利用する犯罪のことです。クレジットカードそのものを盗むのではなく、「スキマー」と呼ばれる装置を使って、クレジットカードの磁気ストライプに書き込まれている情報のみを読み取るため、自分が被害者であることに気がつきにくいという特徴があります。
このスキミングがさらに進化したのがオンラインスキミングです。オンラインスキミングとはECサイトなどに不正なコードを挿入し、利用者が入力した決済情報を盗む行為を指します。ユーザーがフォームに入力したクレジットカード情報を盗み取るため、カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまいます。さらに、本人認証用の3Dセキュアのパスワードまで盗まれることもあります。オンラインスキミングでは偽決済ページヘの誘導を行ったり、不正者への情報送信を行ったりします。こちらの手口ではECサイトのカード情報入力フォームに直接JavaScriptのコードが埋め込まれています。利用者がカード情報を入力し確認ボタンをクリックすると、不正者にも入力されたカード情報が送信され、個人情報が盗まれてしまいます。

なりすまし

「なりすまし」とは、流出した、もしくは盗み取ったカード情報を使って、第三者が本人になりすまして、クレジットカードを不正利用する手口です。上記のフィッシングやスキミング、そしてサイトからの情報漏えいで流出してしまったカードを本人になりすまして、不正利用します。一般社団法人日本クレジットカード協会によると、年によって増減がありながらも、全体的に増加傾向です。内訳としては番号盗用による被害が多くを占めています。

 

ECサイトからの情報流出

前回のようなパスワードアタックのような攻撃にあい、ECサイトから直接カード情報が流出する危険性もあります。

EXILEの公式ECサイトに不正アクセス カード情報4万4000件が流出か
2020年12月08日
音楽ユニット「EXILE」などが所属する芸能事務所LDH JAPANは12月8日、同社が運営するECサイト「EXILE TRIBE STATION ONLINE SHOP」が不正アクセスを受け、4万4663件のクレジットカード情報が流出した可能性があると発表した。このうち209件のカード情報については、11月27日時点で第三者に不正利用された可能性がある。
流出の可能性があるのは、8月18日~10月15日に同サイトでカード情報を登録するか、登録済みの情報を変更した利用者のカード名義人、カード番号、有効期限、セキュリティコード。
引用:https://www.itmedia.co.jp/news/articles/2012/08/news139.html

こうしたニュースが今も後を断ちません。セキュリティ対策に無頓着な場合、いつ自社が狙われてもおかしくはないのです。

 

クレジットカード情報が漏えいした場合のECサイトのリスク

1. ECサイトの閉鎖

カード情報が流出した場合、カード決済の停止やサイトを一時閉鎖するなどの措置がとられます。セキュリティ事故が起きると約半数のサイトが完全復旧できないほか、完全復旧するにはECサイトのリニューアルが必要で、ECサイトの信頼度低下や顧客離れなどを含めると、セキュリティ事故のダメージは計り知れないものとなります。

2.フォレンジック調査の費用

「フォレンジック調査」は漏えい発生に際し、原因特定や被害範囲特定を行うための調査です。カード会社との加盟店契約において、加盟店は漏えい事故が起きた際の調査が義務付けられています。特定の専門機関への調査依頼が必要となり、調査費用は数百万円から1000万円程度が見込まれます。

3.対象顧客への報告と損害賠償金の支払い

お客様へのお詫び対応のデスク設置やクレジットカードの差し替え費用、損害賠償金の支払い等が発生します。カード情報が流出した場合、ほとんどのケースは裁判になります。そしてその賠償金は、過去の判決例から分類すると、秘匿性に合わせて大きく3種類です。 まず、秘匿性が「低」と判断される場合です。住所や氏名など、特殊な情報でない場合がこれに該当します。この場合の相場は、一件あたり500円から1,000円くらいです。 次に、秘匿性が「中」の場合です。クレジットカード情報や、収入、職業に関する情報など、一般的には知られていないはずの情報がこれに該当します。この場合、一件あたり1万円くらいが相場となります。そして、秘匿性が「高」と判断されるケースでは、一件あたり3万円超となります。極めて個人的な情報、たとえばスリーサイズや手術歴、ユーザーIDとパスワードのセットなどがこれに該当します。因みに過去の判例で、1件当たり平均想定損害賠償額は3億3,705万円となっています。

4.社会的信頼の失墜

監督庁への報告がマスコミの報道や、ネットでの情報掲示でネガティブ情報として取り上げられる可能性があります。企業の社会的信頼が薄れ、株価が下落します。顧客に不安を与え、顧客離れが起きます。

5.行政の指導や罰則のおそれ

2018年6月1日に施行された「割賦販売法の一部を改正する法律(改正割賦販売法)」では、クレジットカードを取り扱うEC事業者などに対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられ、カード情報の漏えい対策として制定された同法律では、法的にもEC事業者への責任が強化されています。

 

さいごに

システムのセキュリティホールは、色々な角度から狙われています。攻撃者は対象のシステム全体から、SSHやFTP等のリモートアクセスの他、ウェブサイトへのSQLインジェクションの試行等、攻撃可能なセキュリティホールをあらゆる手段を駆使してスキャンしています。こうした攻撃に対する「クレジットカード情報の漏えい対策」には、WAFのような不正検知システムの導入が効果的です。いつ、どのような手段によって行われるか分からない攻撃に備えるためには、システム全体のセキュリティ対策が必要ということになります。

WAF は従来のファイアウォールや IDS/ADS では防御しきれなかった攻撃の検知・防御が可能となります。ファイアウォールは、主に不要なサービス(サービスポート)へのアクセスを制限し、不正なアクセスの防御を行っております。また IDS/ADS では不正なアクセスを検知するとアクセス元の通信を遮断します。しかし Web サイトなど、公開されているサービス(HTTP や HTTPS)はファイアウォールでは制限されない形となるため Web アプリケーションに脆弱性があると攻撃の脅威となります。WAF ではファイアウォールや IDS/ADS では検知できない攻撃を検出することができます。

クラウド型セキュリティ・プラットフォーム・サービス

Cloudbric WAF+

情報漏えい対策WAF

個人情報がつまったECサイトが狙われている!ECサイトが受ける不正アクセス攻撃とリスクについて徹底解説 


ECサイトが受けるセキュリティ脅威として、主に「個人情報漏えい」と「クレジットカードの不正利用」があります。個人情報漏えいは、外部からの不正アクセス(サイバー攻撃)によって、自社で保有している個人情報が流出してしまうことです。近年、特に「パスワードリスト攻撃」の被害によって個人情報が流出してしまうサイトが相次いでいると危惧されています。今回は2回に分けて、ECサイトが受ける攻撃とその事例、そして対策についてまとめてみました。第一回目は「パスワードリスト攻撃」による情報漏えいについての手法を中心にご紹介します。

 

ECサイトが受ける不正アクセス攻撃とリスク

ECサイトは購入者の個人情報やクレジットカードといった、サイバー攻撃者に狙われやすい情報が蓄積されていて格好のターゲットとなっています。もしECサイトが一度不正アクセスを受けると次のような被害が発生します。

  • 現金化しやすい「ポイントチャージ」商品を大量に購入する。
  • 登録しているクレジットカード情報を盗み出し、別サイトで決済する。
  • 住所を変更し、現金化しやすい商品を大量に購入、発送する。

不正アクセス攻撃によってサイト運営者がうけるリスク

ECサイトが攻撃を受けて顧客の個人情報やカード情報等が流出すると、以下のようなリスクが発生します。

  • 購入者をはじめ、社会からの信頼を失墜。
  • 事実告知やお詫び等の費用・労力。
  • 当該サイトを一時閉鎖することによる、売上減少。
  • 漏洩原因の調査、システムの改修等の費用。
  • 購入者様のカード差替費用。
  • 行政当局、マスコミへの対応。
  • 個人情報流出への損害賠償の支払い。

こうしたリスクは社会的信用の失墜の他、莫大な損害賠償等金銭的負担も大きくかかってくる場合があります。サイト運営者が、情報が流出した顧客一人一人に賠償しなければならなくなることもあります。個人情報流出の損害賠償平均額は年々莫大になり、JNSAの『2018年 情報セキュリティインシデントに関する調査報告書』によると、一件あたり平均想定損害賠償額は6億3,767万円ともなりました。企業価値の維持とリスクヘッジのため対策が絶対不可欠になってきます。

 

パスワードリスト攻撃の手法

パスワードリスト攻撃

「パスワードリスト攻撃」とはリスト攻撃とも言われ、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一種です。何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧や窃盗などを行うサイバー攻撃です。このリストは他のサービスから流出、窃取されたIDとパスワードのリストで、他のサービスでも同様のID、パスワードを利用している場合には総当たりが不要で、リストに従って不正アクセスを試行すれば簡単にアカウントの乗っ取りが可能になります。

ユーザがとあるサイトA、サイトB、サイトCで同じパスワードを使いまわしていた場合、どこか一つのサイトが攻撃を受けてそのパスワードリストが流出すれば、他のサイトもアカウントを不正に乗っ取ることが可能になります。ユーザ側がパスワードを使い回す理由は、「各サイトともに、大文字小文字、数字、記号などを組み合わせるパスワードを求めているが、こうした複雑なパスワードをたくさん覚えられない。よって、要件を満たすパスワードを1つ作って、そのパスワードを複数のサイトで使い回すのが便利」という考えからです。

パスワードリスト攻撃による被害が増えている理由として、IDとパスワードがセットになったリストが「ダークウェブ」(闇ウェブ)などで販売されている点があげられています。仮にサイトAからパスワードリストが流出し、サイトAがパスワードの変更等措置を講じても、他のサイトではそのパスワードを使える可能性が高く、攻撃者は別なハッカーに対して、「ショッピングサイトAから流出したパスワードリスト」を販売する手法をとることもあります。匿名性が高い「ダークウェブ」上で情報のやり取りをし、決済はビットコインなどの「仮想通貨(暗号資産)」を使い、「誰がどこで決済したか」が分からないように売買を行います。

その他の攻撃

ネットショップの中にはカスタマイズ性の高いオープンソースのショッピングカートを使ってるところもあります。しかしきちんとバージョンアップへの対応等メンテナンスを行えていないところもあり、そうした場合、カートシステムのプログラムの脆弱性を突かれ不正アクセスを受けることもあります。

 

パスワードリスト攻撃による実際の攻撃事例

ヤマト運輸がクロネコメンバーズ3467件の不正ログインを確認 - 2019年7月25日
ヤマト運輸は7月24日、クロネコメンバーズのWebサービスにおいて外部から「パスワードリスト攻撃」(他社サービスから流出した可能性のあるIDとパスワードを利用して、Webサービスにログインを試みる手法)による不正ログインがあったことが判明したと発表した。
同社によると、7月23日に特定のIPアドレスからの不正なログインを確認し、緊急の措置として該当のIPアドレスからのログインを遮断するなどの対策を講じた上で調査した結果、不正なログインに使用されたID・パスワードは同社で使用されていないものが多数含まれており、他社サービスのID・パスワードを使用したパスワードリスト攻撃による不正ログインと判明したという。
引用:https://news.mynavi.jp/article/20190725-865750/

「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて -2019年05月14日
株式会社ファーストリテイリング株式会社ユニクロ株式会社ジーユー弊社が運営するオンラインストアサイト(ユニクロ公式オンラインストア、ジーユー公式オンラインストア)において、お客様ご本人以外の第三者による不正なログインが発生したことを、2019年5月10日に確認しました。
今回の不正ログインは、2019年4月23日から5月10日にかけて、「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、現時点判明分で不正ログインされたアカウント数は、461,091件となります。
引用:https://www.uniqlo.com/jp/ja/contents/corp/press-release/2019/05/19051409_uniqlo.html

「カメラのキタムラ」にリスト型攻撃で不正アクセス、個人情報が閲覧された可能性 -2020年6月17日
キタムラは6月15日、ECサイト「カメラのキタムラ ネットショップ」で“なりすまし”による不正アクセスが発生したと発表した。
不正アクセスの手法は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃「リスト型アカウントハッキング(リスト型攻撃)」。
悪意の第三者が外部で不正に取得したと考えられるメールアドレス・パスワードを使い、「カメラのキタムラ ネットショップ」に不正ログインを試行。複数人の会員情報で不正アクセスが行われ、顧客情報が閲覧された可能性があるという。
引用:https://netshop.impress.co.jp/node/7742

こうした大手のサイトでも次々とパスワードリスト攻撃の被害が生じています。いつ自社が被害にあうか常に危機意識を持つ必要があります。

パスワードリスト攻撃への対策にも有効なWAF

「パスワードリスト攻撃」などは、ユーザにパスワードの使い回しをやめるよう注意喚起する方法もあります。もちろんそれだけではセキュリティ対策として不十分です。ECサイトへの攻撃を運営側が防ぐには次のような対策を取り入れるのが推奨されています。

  • 多要素認証(二段階認証)が導入されている。
  • リスクベース認証が導入されている。
  • これまでログインされたことがないIPアドレス (接続元) からアクセスがあった場合のみ、追加の認証を要求する。
  • 住所変更、クレジットカード変更など、重要な情報を変更するときには、ID・パスワード以外の情報を追加で要求する。
  • ログインすると、自動のメールなどで「現在ログインされました」という通知が送られる。(万が一不正アクセスが発生しても、早期に気付ける仕組み)

こうした「セキュリティに強い」サイトにするには手間をかけるか、ツールの導入も検討すべきでしょう。例えばクラウド型WAF(Webアプリケーション・ファイアーウォール)ならばWebサイトやWebサーバへのサイバー攻撃を可視化し、攻撃をブロックすることも可能です。例えば同じIPアドレス(端末)から連続して異なるアカウントでの大量ログインを検知した際、ID・パスワードが実際に存在するか否かに関わらず強制的にそのアクセスを遮断するような機能も備わっています。そのため今回ご紹介したような「パスワードリスト攻撃」への有効な対策となります。

クラウド型セキュリティ・プラットフォーム・サービス

Cloudbric WAF+