« Instagramにブラジルからの不正ログインが急増 | トップページ | 国内からの不正ログインが増加中 »

2017年11月29日 (水)

秘密の質問が破られた事例の考察

少し前にこのような被害があったのを見つけました。

ちょびリッチで不正アクセスを食らって11,500円を搾取されたので経緯を簡単にご紹介したい
https://www.ana-mileage-shoes.net/entry/cyberattack

※愚痴注意※不正アクセスを食らったら被害者は泣き寝入り。少なくともちょびリッチさんは助けてくれないことがよくわかった
https://www.ana-mileage-shoes.net/entry/nakineiri

要約すると

・ポイントサイトのちょびリッチに不正ログインされてAmazonギフト券のコードの変換されていた。

・登録していたYahooメールが不正ログインされていてそこからちょびリッチに不正ログインされた模様。日本からの接続。

・Yahooとちょびリッチのパスワードは違ったものの、ちょびリッチのは過去にYahooから流出したものと同じだった。

・ポイントからAmazonギフト券への交換には秘密の質問による認証があるが突破されている。(答えの問い合わせなど無し)

・ちょびリッチ側には落ち度が無く保証はしない。

こういった内容なんですが、秘密の質問が破られているという点が特徴的です。

ブログ記事を公開する前にTwitterで被害情報をツイートしていたときには、ちょびリッチに秘密の質問の答えが問い合わせできるようなのでそちらを使ったのかと考えていました。

現在は変更されているようですが、当時は生年月日で秘密の質問の答えを問い合わせでき、なおかつ秘密の質問も変更できなかったようです。そのためYahooのアカウントを乗っ取られて登録してある個人情報を入手された場合は秘密の質問を問い合わせできた可能性がありました。

http://web.archive.org/web/20160918152057/https://chobirich.info/help/detail.php?a_id=89

https://chobirich.info/help/detail.php?a_id=89

まずはユーザー側のパスワード管理の落ち度からみていきましょう。

Yahooメールへの不正ログインはリスト型攻撃と思われるので、おそらく複数のパスワードを使い回していたと思われます。そのため、同じパスワードを利用していたどこかのサイトから流出したリストで攻撃されたために防げなかったんでしょうね。

次にちょびリッチ側のパスワードを過去に流出したものを使い続けていたというのが問題です。Yahooだけしか変更しなかったと考えられますね。

パスワードの管理をしっかりしておけば防げた攻撃ですが、これらの情報から攻撃側がどんな攻撃をしてきたかという推測するといくつか浮かび上がってくる点があります。

まず、違うパスワードでも破られたということから、リストの名寄せをしている可能性があります。Twitterの方でYahooからちょびリッチのログインまで時間は1分30秒しかかからなかったということからパスワードが違っていてもいいようにすぐに情報を取り出せる準備ができていたと考えられますね。

ここから秘密の質問の突破に関して考察していきますが、情報が少ないので結論は出ていません。少ない情報からある程度の推測ですので間違っていることもありますので始めに断っておきます。

・被害者が疑っていたちょびリッチのシステムへの侵入。

これは同様の被害が他に見つかっていない、Yahooも同時にログインされているといったことからちょびリッチのシステムが脆弱だった可能性は低いと考えています。

・パソコンやスマホのマルウェア感染。

他に同様の被害者がいないことから可能性は低いかなと考えています。この場合他のサイトの被害もおきてそうなんですよね。

・秘密の質問もパスワードと同時に流出。

Yahooの過去の情報流出では秘密の質問も流出した疑いのユーザーもいたので可能性はありますが、同じ質問とは限らない、秘密の質問の突破まで少し時間がかかっているということから少し違うかもと考えています。

・残っていたメールから推測された。

一番可能性が高いのはこれじゃないかと考えています。ちょびリッチを使っているのもメールを調べて使用しているサービスを割り出していると思われるので、秘密の質問の内容によっては答えもしくはヒントになるようなメールが残っていたかもしれません。

・他サイトに保存していたパスワードなどの情報から入手。

EvernoteやWebストレージサービスなどのサイトに保存しておいたものを入手された可能性ですが、パスワード管理ソフトも利用していないことからパスワードなどを保存していたんだろうかという疑問符がつくので少し可能性が低くなりますね。

・SNSアカウントを特定して公開されている情報から推測。

可能性は高くないとは思いますが、この情報収集をされると一番やっかいだなと考えた攻撃です。流出したメールアドレスや電話番号からSNSのアカウントを特定し、公開されているプロフィールや投稿から秘密の質問の答えを推測するという方法です。友達やフォローにならずにアカウントを特定して情報収集するだけなので気づかれにくく、メールアドレスや電話番号で知り合いとのつながりを増やそうとしている人ほど収集されやすいと考えられます。

とりあえず浮かんだ攻撃方法はこんなところですが、今回のようにメールアドレスが乗っ取られていた場合は秘密の質問を突破する方法が増えるのでパスワードの強化と管理が重要ですが、最後のSNSアカウントの特定に関していうとそれ以外の怖さがあります。

もしパスワードがわからなくても秘密の質問と少しの個人情報でパスワードが回避できた場合、SNSの公開情報から回避される危険性がありそうだなと。

例えば、Facebookのプロフィールから生年月日を確認して秘密の質問の好きな食べ物をInstagramやTwitterの画像からよく出てくるものから推測なんて攻撃が考えられそうです。こうなるとユーザー側にできることは非公開にするなど少なく、使い方に制限がかかってしまいます。

そのため、すべてのサイトにいえることですがユーザーではなくサイト側での対処が望ましく、秘密の質問の質問を簡単に調べられないようなものにしたり、秘密の質問を複数にしたりといった対策や秘密の質問をやめるといった事も考えた方がいい事態が近づいてきているのかもしれないですね。パスワードを名寄せするような相手だということを頭に入れておかないといけません。

最後に

このSNSで秘密の質問の答えを探すという話題は、こんな個人ブログで書かずにどこか正式なところから発表した方がいいんじゃないかとも思ったんですが、ツテが無いのと情報不足ではっきりしたことは言えないということからあきらめたんですが、有名な専門家あたりがサイト管理者にも目にとまるようにこんな危険性が考えられるから気をつけた方がいいと話題にした方がいいんじゃないかなと思ってます。

まっ、一介の素人なんで間違っててもおかしくは無いんですけどね。

« Instagramにブラジルからの不正ログインが急増 | トップページ | 国内からの不正ログインが増加中 »

情報セキュリティ」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« Instagramにブラジルからの不正ログインが急増 | トップページ | 国内からの不正ログインが増加中 »