« 仮想通貨関係のサイトが複数攻撃を受けているので注意! | トップページ | mixiにリスト型攻撃 »

2018年5月 2日 (水)

リスト型攻撃の進化形?

最近単純なリスト型攻撃とはちょっと違うのではと思われるような事例が出てきていますので、はっきりとこういった攻撃と断定するほどではないものの頭の片隅にでも入れておいた方がいいといった感じの話程度に紹介しておきます。

重要なお知らせと被害者の話から4月11日頃にリスト型攻撃を受けたと思われるビットポイントジャパンですが、この攻撃は通常の攻撃とはちょっと違う可能性があります。

BITPoint|ビットポイント パスワード及び取引暗証番号の定期的な変更のお願い
https://www.bitpoint.co.jp/2018/04/11/info-55/

最初は被害者がメールへのログインはなかったとのことから、通常のリスト型攻撃かと思いましたが、こちらのブログによるとID(メールアドレス)と初期パスワードは郵送で送られてきてユーザーが設定できないようになっており、パスワードをユーザーが使い回しているものに変更しないとリスト型攻撃は成功しないはずです。さらに取引暗証番号という取引時に必要な4桁の数字(ユーザーが登録時に入力)もあるので普通に考えれば困難です。

BITPoint(ビットポイント)の登録方法と使い方 - 仮想通貨の教科書
https://coin-textbook.com/bitpoint/

パスワードを他のサイトでも使い回しているものに変更していればリスト型攻撃は成功しますが、取引暗証番号をどうするのかという問題が残っています。3つめの入力を求めるサイトは少ないので流出と使い回しで複数人の被害が出るのは確率として低い。なら同時に流出したと考えられる生年月日や電話番号から4桁の数字を使用していたと考えられるんじゃないかと。もしくは1つの流出によるリストではなく、メールアドレスなどから名寄せをして個人情報を集めたのかもしれません。

ここまで破られやすいパスワードと取引暗証番号に変更してればユーザー側に随分と過失があると思いますが、リスト型攻撃を防ぐ仕組みがあったのかという点が問題になりそうです。他の大手取引所では2年ほどはリスト型攻撃による被害は見かけていませんからね…

次はちょっと気になるツイートがあったので

 

次々とあちこちのサイトへ不正ログインがあったとのことですが、メールアドレスは違うとのこと。ひょっとすると単純にリストを利用するのではなく、IDのメールアドレスの@より後の部分を有名なフリーメールアドレスにしてパスワードは使い回しを前提として試しているのかもしれないという話です。

同時期に複数のリストが流出していて被害も同時期にあったという可能性もありますが、使い回しをしていないのに被害に遭ったという人も見かけるので、こちらの可能性も考えていた方がよさそうですね。

5/3 恥ずかしい誤字修正…

« 仮想通貨関係のサイトが複数攻撃を受けているので注意! | トップページ | mixiにリスト型攻撃 »

情報セキュリティ」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« 仮想通貨関係のサイトが複数攻撃を受けているので注意! | トップページ | mixiにリスト型攻撃 »