So-net無料ブログ作成

「リスト型攻撃」相次ぐ――同じID・パスワードの使いまわしに注意 [トラブルの予防]

他人のポイントを使って商品を騙し取っていた容疑者グループが先月摘発され、不正アクセスの手口となった「リスト型攻撃」がテレビや新聞で話題となった。摘発されたグループの犯行自体は昨年のことだが、リスト型攻撃は今もなお繰り返し行われている。

何らかの方法で入手したIDとパスワードのリストを使ってログインを試行し、有効なアカウントに侵入する不正アクセスの攻撃手法のことを「リスト型攻撃」という。同じIDとパスワードの組み合わせを、複数のサイトで使いまわしているユーザーを狙った攻撃だ。摘発されたグループは、このリスト型攻撃を使ってネットショップのアカウントに侵入した後、ユーザーが貯めていたポイントを実店舗で使用して商品を騙し取っていたという。

 商品騙し取りの手口は、ネットと実店舗の両方で同じポイントが利用できる仕組みを悪用したものだ。多くのネットショップでは、ログイン後に手続きすることで、店頭で発行したポイントカードにネットショップのアカウントを紐づけ、ポイントを共通化したり、スマートフォン用のアプリをポイントカードとして利用したりすることができるようになる。ポイントの共通化やアプリでの利用に関して改善の余地のあるところも多いが、対応はショップ次第だ。私たちユーザーにできることとして、アカウントの不正アクセス対策と、ポイントカード番号の秘匿を徹底したい。

■サービスごとに異なる強固なパスワードを

 パスワードを破ってアカウントに侵入する主な手口には、生年月日や名前などから類推したパスワードを試行する「類推攻撃」、「12345678」や「password」などのありがちなものを試行する「辞書攻撃」、1文字ずつ文字を変えながら試行する「総当たり攻撃」、そして今回の「リスト型攻撃」がある。パスワードを破られないようにするには、これら手口に合致しないようにすればよい。すなわち、類推されず、単純なものを使わず、長くて複雑なパスワードを使いまわさずに設定するということだ。

 覚えきれない方は、パスワード管理ソフトやブラウザのパスワード管理機能を使うと良い。ただし、他人の操作でパスワードが表示されたり、入力してしまったりすることがあるので注意したい。第三者に操作されないように、端末や画面、管理ソフトなどをロックしておくことをお忘れなく。

■カード番号は秘密に

 ポイントカードには、本人がカードを持参し店頭で手続きを行わないとネットサービスと連携できないものもあるが、カード番号と何らかの登録情報が合致すればよいものが多く、中にはカード番号だけで紐づけられる危ういものもある。店頭手続きが必須の場合には、ポイントカードを盗まれなければ、勝手にポイントを使われたり、他人のアカウントに勝手に紐づけられたりすることはない。しかし、そうでない場合は、カード番号と必要な情報が漏れてしまうと勝手に使われてしまう可能性がある。たとえ当人がネットサービスのアカウントを持っていなくても、勝手に登録されてしまうこともあるので注意したい。ポイントカードの番号やバーコードは、他人に見せてはけない。

■最近のリスト型攻撃

 リスト型攻撃とみられる不正アクセスは、先月から今月にかけて公表されたものだけでも以下のようなものがある。

<GREE>
10月2日発表:9月15日~10月2日にかけ、他のサービスから流出したと思われるメールアドレスとパスワードを利用したログインを検知。被害アカウント数887件、不正決済5件で36万3000コイン(39万2040円)の被害。
・(10/2)不正ログイン発生のご報告とアカウントの一時お預かりについて
http://jp.apps.gree.net/ja/static/page/announce_20171002

<PIXTA>
9月26日発表:9月18日~20日にかけ、リスト型攻撃の手法と考えられる攻撃が確認された。不正ログイン252件。
・(9/26)「PIXTA」への不正ログインに関するご報告とパスワード再設定のお願い
https://pixta.jp/channel/?p=29255

<ロート製薬>
9月8日~15日発表:9月7日にリスト型攻撃による不正アクセス発生。9月14日まで、断続的に“なりすまし”による不正ログインが確認された。不正ログイン387件、不正なポイント使用1件。
・(9/8)弊社会員サイトへの不正アクセスと対応のお知らせ
http://www.rohto.co.jp/news/whatsnew/2017/0908_01/
・(9/15)弊社会員サイトへの断続的な不正アクセスと弊社対応のお知らせ
http://www.rohto.co.jp/news/whatsnew/2017/0915_01/

<東京ガス>
9月1日~22日発表:8月31日にガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスが判明。9月11日以降「リスト型攻撃」とみられる方法により、106件の不正アクセスの疑いが確認、24件・計38,000円相当のポイントが不正に使用された。
・(9/1)ガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスによるお客さま情報の流出について
http://www.tokyo-gas.co.jp/important/20170901-08.html
・(9/22)ガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスによるお客さま情報の流出ならびにポイントの不正使用について
http://www.tokyo-gas.co.jp/important/20170922-01.html

<ディノス・セシール>
7月31日~9月25日発表:7月31日に外部で不正に取得されたと思われるID・パスワードを使った“なりすまし”による不正アクセスが11回発生、不正ログイン1件。その後も断続的に発生し、9月22日に30回の不正アクセス発生、不正ログイン6件、顧客情報改ざん2名、1600ポイントが不正使用された。
・(7/31)弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて[PDF]
https://www.dinos-cecile.co.jp/whatsnew/topics_20170731.pdf
・(9/25)弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて[PDF]
https://www.dinos-cecile.co.jp/pdf/topics_20170925.pdf

(2017/10/06 セキュリティ通信)