全3222文字
PR
本特集では、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。

 東北電力は2016年11月16日、電力の契約をしている顧客向け会員制Webサービス「よりそうeねっと」を停止したと発表した。複数の特定のIPアドレスから同サービスへ大量の不正アクセスが認められたためだ。

 同サービスの利用状況に応じて貯まるポイントが、身に覚えのない他の共通ポイントに交換されたことも分かった。同サービスを12月1日に再開するまで停止を余儀なくされた。

 調べたところ、11月10日から15日にかけて複数の特定のIPアドレスから同サービスに大量のアクセスが試みられていたことが判明。一部の顧客のポイントが勝手に交換されていたことと合わせて、同社は一連のアクセス行為を何者かによる不正アクセスと判断し、サービス停止に踏み切った。

「リスト型攻撃」で不正アクセス

 「ご登録いただいているお客さまには、大変なご心配とご不便をお掛けしておりますことを、お詫び申し上げます」。東北電力は同日のプレスリリースで、こう謝罪した。

 同社は11月10日から15日にかけての不正アクセスの手口を、「リスト型攻撃とみられる」と説明する。リスト型攻撃とは別のWebサービスなどから入手したIDとパスワードを使って、攻撃対象のWebサービスへ不正にログインする攻撃手法だ。

 攻撃者はIDとパスワードを自動的に入力するツールなどを使ってログインを試みる。IDとパスワードを入力するという行為自体は利用者本人が実施する通常のログイン作業と同じであるため、防ぐのが難しい。

 東北電力が不正アクセスの手口をリスト型攻撃と推測したのは、短時間に大量にログイン作業が実施されたが、ほとんどはIDやパスワードを間違えて入力してログインに失敗していたため。これはリスト型攻撃の特徴だ。

 不正アクセスを許した一因は、「よりそうeねっと」の利用登録をするためのIDとパスワードの設定方法が、他のサービスと使い回しやすい仕組みになっていたためだ。同社は利用登録を希望する顧客へ同社が独自IDを発行するといった方法を採らず、顧客がそれぞれ個別にIDやパスワードを設定できるようにしていた。結果として、他のWebサービスなどと同じIDとパスワードを使い回している顧客が少なくなかったようだ。

 セキュリティを厳格に保つサービスの中には運営側が発行したIDを変更できないようにしているものもあるが、大半のサービスは利用者がIDを自由に変更できる。東北電力のサービスもその一つだった。大量のアクセスを不正アクセスとして早期に検知してログインを遮断する仕組みも甘かったとみられる。

 攻撃者はこの“弱点”を突き、何らかの手段で入手したIDとパスワードのリストを使って、不正アクセスを実施したようだ。東北電力によると、同社のサイトからログインIDやパスワードの漏洩は確認されなかった。