« iMessageへのリスト型攻撃? | トップページ | NetflixとSpotifyへの不正ログインが増加中 »

2018年6月 7日 (木)

セシールの不正ログインについて考察

6月6日に発表されたセシールオンラインの不正ログインについて少し考察してみました。

https://www.dinos-cecile.co.jp/whatsnew/topics_20180606.final.pdf

  弊社が運営する「セシールオンラインショップ」において、6 月2 日(土)・10 時19 分~22 分にかけて 同一IP アドレス(中国)より、メールアドレス・パスワードを使った、“なりすまし”による不正アクセス が発生し、その一部が不正ログインされ、お客様情報(氏名、所有ポイント数)が第三者に閲覧 された可能性があることが判明。そのため、攻撃元IP アドレスを自動遮断処理によってアクセス不可の状 態に遷移させたものの、その後も他の複数 IP アドレス(全て中国)から不正ログイン試行が続いた ため、プロバイダー単位のアクセス遮断対応を実施。

  • 不正アクセス発生日時…2018 年6 月2 日(土)10 時19 分~17 時59 分
  • 不正アクセス元…中国国内の201 個のIP アドレス
  • 不正アクセス及び不正ログイン件数…不正アクセス:1,938 件、うち不正ログイン成功:490 名分
  • 上記の不正ログインでお客様情報(氏名、所有ポイント数)が、第三者に閲覧された可能性がある ことが判明。なお、不正ログインされたお客様情報については、ファイルとして出力、転送及びダウ ンロードなどで外部に流出していないことを確認済み。登録クレジットカード情報等が閲覧された 可能性もなし。
  • 今回不正アクセスに使われたメールアドレス 1,938 名分全てが、「セシール」にご登録中のお客様 ID と 一致することが判明。そのため、本件に使用されたメールアドレスは、事前に何らかの形で弊社より 流出していた可能性が高く、その経路も含めた事実関係について現在調査中。

発表としてはこういった内容なんですが、まずは中国がアクセス元というところから。

他サイトの不正ログインの状況から考えると中国本土からの不正ログインというのは少数です。もっとも中国からの不正ログイン攻撃をされているYahooでの被害実態から考えると、ISPは一定でなくホスト名が引けないものまであります。そこから中国本土でなく台湾の中華Proxy経由(ISPは1社)の攻撃で政治的な配慮から中国と発表している可能性も考えています。

次にログインの成功率。約25%が成功するというのは極めて高い成功率で、通常のリスト型攻撃だとサイトによって前後しますが、1から2%程度と考えてもらっていいかと思います。過去に高確率の不正ログインの発表があったのではリクルートのポンパレモールでの約3割の成功率というのがありました。こちらもあまりにも高かったため、使用されていないIDは省いて実在するIDのみの発表ではないかと考えられていましたが、後日その旨が追加されています。

「なりすましログイン」への対応に関して(9月11日更新) | リクルートホールディングス - Recruit Holdings
https://recruit-holdings.co.jp/news_data/notification/20140908_7754.html

この時に次ぐ成功率ですので、かなりの成功率だということがわかります。

流出元も2種類を検討してみました。一つ目はパスワードとセットでセシールから流出していたが古いリスト。二つ目は発表通りのメールアドレスのみの流出。

セシールからパスワードとセットで古いリストが流出していて今回使われたと仮定すると、メールアドレスの変更による失敗がない、過去に何度かリスト型攻撃を受けて変更を呼びかけてるにしては成功率が低いのでは?とちょっとつじつまが合わないところがありそうです。メールアドレスのみの流出だとすると、これらの問題点が出てこないため発表通りのメールアドレスのリストのみが流出という可能性が高そうです。既存のパスワードとメールアドレスの組み合わせのリストからメールアドレスが一致するもののみを抽出して利用した可能性があります。

ではどこから流出したかとなると、メールアドレスのみということからセールなどの情報を受け取る設定で管理しているところなどが怪しく、例えばメールを外注で送信していた場合はそちらからの流出なども考えられますね。

過去の例だと弥生株式会社での個人情報流出で調べてみると、大日本印刷の業務委託先の社員が持ち出していたという事件がありました。

大日本印刷から個人情報863万件以上が流出 - @IT
http://www.atmarkit.co.jp/news/200703/12/dnp.html

さらに、今回の発表で不正ログインの実態がある程度わかるところがあります。

10 時19 分~17 時59 分の間に201個のIPアドレスから1,938のIDへのアクセスということで、1つのIPアドレスでは平均で10個ほどのIDで、平均で20(入力ミス)10秒以上の間隔を開けてログインを試していると思われます。これを検知したセシールは頑張っている方だと思いますけどね。

できれば2段階認証などを取り入れればさらに良いとは思いますけど。

6/9 追記

第2報がでました。

https://www.dinos-cecile.co.jp/pdf/20180608_topics2.pdf

どうやら新規登録ですでに登録してあるメールアドレスは再度登録できないのを利用してそこから利用できるメールアドレスを絞り込んだということのようで、流出ではないようです。

これは他のサイトでも利用されそうな攻撃なので他人事と思わずにサイト管理者は対策を考えないといけない内容のようですね。

« iMessageへのリスト型攻撃? | トップページ | NetflixとSpotifyへの不正ログインが増加中 »

情報セキュリティ」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« iMessageへのリスト型攻撃? | トップページ | NetflixとSpotifyへの不正ログインが増加中 »