2019年6月にはヤマダとコジマに続きイオンのサイトが狙われ、パスワードリスト攻撃により不正アクセスにより大きな被害を出してしまいました。どうしたら防げるか?イオンの事故より、デジタル終活を志す私たちが学ぶべき教訓と対策をご説明します。
今度はイオンで発生し、被害を出してしまった「パスワードリスト攻撃」とは?
ヤマダは不正侵入、コジマとイオンはパスワードリスト攻撃を受けた
つい先日ヤマダとコジマという大手家電量販店のセキュリティ事故についてお知らせしました。また2019年7月4日にはセブンペイで5000万円もの被害となった大きな事故が発生しました。
令和を迎えて大手家電量販店「ヤマダとコジマ」の大きなセキュリティ事故が報道されました。さらに7月にはセブンペイでも大きな不正ログイン事件が発生しました。その後も家電量販店、大手デパートの三越伊勢丹と事件は続きます。身近なサービスで発生す[…]
ヤマダとセブンペイの事件では、システムの弱いところや、アプリの欠陥を突かれて侵入されて機密情報を奪われてしまいました。
コジマの事件は、それとは全く異なり「悪意の第三者が、入手した不正なIDとパスワードが記載されたリストを使って、顧客になりすまして不正アクセスし、一致したIDとパスワードで不正ログインに成功し顧客情報の一部をのぞき見た」ものです。
このような攻撃を「パスワードリスト攻撃」といいます。
不正に入手したユーザーの氏名、住所、生年月日、口座、暗証番号、パスワードなどをセットにしてリスト化した情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。
以下のWikipediaの記事「総当たり攻撃」に書かれているように、ハッカー達はパスワードリスト(Fullz)の更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。
コジマやイオンでも、こうやって作られたパスワードリストが使われたのでしょう。
「人間が発想するパスワード」はワンパターンな事が多いため、予め言葉が予想される候補を優先的に組み合わせて検証していく辞書攻撃等があり、一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。
~中略~
一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。
■引用:Wikipedia「総当たり攻撃」より
コジマは未遂だったが、イオンでは2200万円もの被害
2019年6月13日、イオン銀行とイオンクレジットサービス株式会社から衝撃の発表がありました。
イオンのネットサービス「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」で、パスワードリスト攻撃による「なりすまし不正ログイン」が発生してしまったのです。
コジマは不正ログインを迅速に発見したため、実害は生じませんでしたが、イオンでは数日間発見が遅れて、その間約2000名の顧客情報が悪用され、2200万円もの被害が出てしまいました。
2000名の顧客情報が悪用されたということは、つまり犯人が持っていた流出IDとパスワードのリストに、少なくとも2000件はイオンのサイトでそのまま使えるものがあったということです。
つまりこの2000件の持ち主は「パスワードの使い回しをしていたため、なりすまされてイオンで不正アクセスされ、不正ログインされてしまった」ということになりますね。
イオンの事故の詳細は?
犯人の具体的な手口
イオンの発表から推定できる、犯人が犯行を成功させた過程は以下のようなやり方であった思われます。
犯人は持ち主が登録していた携帯電話番号を書き換えることで不正使用がばれないようにして、持ち主がマイページに登録していたクレジットカードを使って決済アプリで不正な購入を繰り返しました。
- 闇マーケットでパスワードリストを入手
- イオンのカード会員向けサイトの「暮らしのマネーサイト」で、このリストを使って不正アクセスし、次々と不正ログインを試みる
- 不正ログインに成功した1917件の「会員マイページ」に侵入
- 「会員マイページ」で既に持ち主が登録している携帯電話の番号を犯人の番号に入れ替えてしまう
- 不正ログインに成功したIDとパスワードで「スマホ決済アプリ」の新規登録。登録すれば、決済はマイページに既に登録されていた持ち主のクレジットカードから引き落とされてしまう
- アプリ登録の時に本人確認のために送られたのメールは、すり替えられた犯人のメールアドレスに行ってしまい、持ち主は気がつかない。
- スマホ決済アプリを使って買い物など不正利用。→被害者708名、被害総額22,044,816円
ユーザーにはどのような被害があったか?
ユーザーはイオンのマイページに登録していたクレジットカードから見に覚えのない引き落としがあって初めて不正利用に気がついたと思われます。
決済アプリからの引き落としで不正侵入で発生した被害は、イオンの例のように被害が原因が明らかな場合は、最終的には責任のある企業側が補償します。
しかしユーザー側は一時的であっても支払いの義務が生じるだけでなく、一度でも不正に使われたクレジットカージは無効になってしまうため、再発行の手続や、場合によっては警察に被害届を出すなど、面倒な対応が求められてしまいます。
また不正使用されたとしても、イオンのように不正使用が特定できれば補償を受けることができますが、盗用に気がつかず、ユーザー側がの泣き寝入りになる事もあります。
パスワードリスト攻撃を防ぐにはどうしたら良いか?
ユーザー側は防ぎようがないパスワードリスト攻撃
ユーザーにとって、パスワードリスト攻撃は過去どこかのサイトで使っていたIDとパスワードがいつの間にか外部に流出して、勝手に使われてしまったわけで、ユーザー側には防ぎようがありません。
IDやパスワードの流出はあまりに多く、流出を止めることは難しいのが現実です。
毎日国内で発生している情報流出は以下のセキュリティ情報サイトに日ごとに掲載されています。毎日数件ずつ事故が発生しています。
この中にあなたのアカウント情報がたまたま含まれていなかったとしても、いつかは流出してしまう可能性は高いのです。
今回の事件を受けてイオンがユーザーに頼んだこと
イオンは今回の事故後、ユーザーへ以下のような対応を依頼しました。
【カード会員さまへのお願い】
不正ログインを防止するため、以下の点にご留意の上、ID・パスワードを変更いただきますようご協力をお願い申し上げます。他のサービスでご利用になっているID・パスワードを使用しない。
定期的にパスワードを変更し、過去に使用したものは極力使用しない。
第三者が容易に推測できるID・パスワードを使用しない。
■出展:インターネットサービス「暮らしのマネーサイト」での不正ログイン発生のお知らせおよびパスワード変更のお願いについて
1.「パスワードの使い回しをやめて」
2.「推測されるような安易なパスワードを使用しないで」
といういつものお願いとなります。しかし対策はこれしかないのです。
※なお、1と2.が実現できていれば「定期的なパスワードの変更」は必要ありません。
パスワードリスト攻撃にあわないため、ユーザー側ができることは
「パスワードの使い回し」をやめる
当サイトでも何度も繰り返していますが、対策はこれしかありません。
各サイト毎にパスワードを確実に変えておけば、流出して不正アクセスされたとしても他のサイトに被害が及ぶことはありません。
パスワードの使い回しはきっぱりとやめて、ひとつのサービスごとに独自の最低10桁以上できれば15桁程度の強いパスワードを使いましょう。
「パスワードは文字種を組み合わせ8文字(8桁)以上、時々変更しよう」。これは古い危険な情報です。内外の最新の解析や研究を検証した結果は「8文字パスワードは弱い!」。また「強いパスワードを設定したら二度と変更の必要なし!」。パスワードの強[…]
「パスワードの使い回し」をしないで済むアカウントの管理方法を実行する
人間の記憶力には限界がありますので、いくつもパスワードを覚えるのは不可能です。便利で安全なパスワードマネージャー(パスワード管理ツール)の使用を検討しましょう!
強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]
自分のメールアドレスやパスワードが流出していないか調べて、対策しよう
以下のサイト「HIBP~Have I Been Pwned?」でIDに使われるメールアドレスや、自分が使っているパスワードが流出していないか調べることができます。
調べた結果流出が確認できたら、すぐに同じパスワードを使っているサイトだけは変更してしまいましょう!
HIBPはオーストラリアのセキュリティ専門家Troy Hunt氏により運営されている世界的に有名で信頼できるサイトです。
メールアドレスが流出していないか調べるサイトHIBP
Have I been Pwned?(私のメールアドレス、やられていない?)
パスワードが流出していないか調べるHIBP
下記のサイトではパスワードについても流出していないか調べられます。
have I been pwned.com – Passwords (私のパスワード、やられてない?)
まとめ:
アカウントの安全こそデジタル終活の基本です
当サイトではデジタル終活を「身の回りのデジタル資産をデジタル遺品やデジタル遺産として整理し、安全にデジタルが使えるよう整備する。さらに万一の際に大切な人に確実に継承できるよう準備すること」と定義しています。
不完全なものは継承するべきはありません。
ご自身の死後、流出したアカウントが被害を生み出し、デジタル遺品の消失や悪用によってご家族に更なる悲しみをかけることも想定されます。
終活準備の前に、まず身の回りのデジタルの安全を確保しましょう。
だけで安全度は飛躍的に高まります。
毎日発生する事故を教訓に、ぜひご検討ください。