PR

 不正アクセスには様々な攻撃手法があります。

 例えば、攻撃者がネット上などで入手したメールアドレスと、パスワードによく使用される文字列を組み合わせてログインを試行する「辞書攻撃」、パスワードで使えるあらゆる文字列を試す「ブルートフォース(総当たり)攻撃」があります。どちらも成功率はかなり低く、1%未満でしょう。

 成功率が高い手法としては、別のWebサービスから漏洩したメールアドレスとパスワードを使って不正ログインを試みる「リスト型攻撃」があります。ユーザーが一つのパスワードを複数のWebサービスで設定する、いわゆる「パスワードの使い回し」が横行しているので成功率が高いのです。しかし、成功率は良くて数%でしょう。

 ところが、2018年6月に発覚した通販サイト「セシールオンラインショップ」の不正アクセスでは、ログインの成功率が約25%でした。果たしてどんな攻撃だったのでしょうか。調査しました。

登録済みのIDだけが使われた

 セシールオンラインショップを運営するディノス・セシールは6月6日、同サイトが6月2日朝に不正アクセスを受け、会員情報が漏洩したと発表しました(図1)。1938件の不正ログインの試行を受けて、そのうち490件がログインに成功したそうです。4件に1件が不正ログインに成功したということになります。

図1●ディノス・セシールが通販サイトへの不正アクセスを発表
図1●ディノス・セシールが通販サイトへの不正アクセスを発表
通販サイト「セシールオンラインショップ」が2018年6月2日に不正アクセスを受け、会員情報が漏洩した。同サイトを運営するディノス・セシールが6月6日に明らかにした。不正アクセスで使われたID(メールアドレス)すべてが、会員のメールアドレスと一致したという。同社は、事前に何らかの形でIDが漏洩した可能性が高いと発表した。
[画像のクリックで拡大表示]

 成功率が高いので、リスト型攻撃である可能性があります。とはいえ、25%は高すぎです。

 ディノス・セシールの発表資料に興味深い説明がありました。今回の不正アクセスに使われたIDは、すべてセシールオンラインショップで登録済みだったというのです。IDだけは、百発百中の不正アクセスだったわけです。

 通常考えられない事態にディノス・セシールは、「事前に何らかの形で弊社より流出していた可能性が高く、その経路も含めた事実関係について現在調査中」と発表しました。

 IDが漏洩した痕跡が見つかっていない状況で、こうした内容を発表することは勇気がいることでしょう。ただセキュリティ事故の場合、不祥事の可能性があれば、事前に発表する姿勢は悪いことではありません。心証が違います。

わずか3分間で攻撃を遮断

 ディノス・セシールは、情報セキュリティに関する情報を積極的に公表する企業です。また、高い技術力を備える素晴らしい企業だと思っています。例えば、2017年に12件の不正ログインを検知し、それを公表しました。不正ログインは、正規のアクセスと変わらないため、数件だと検知は困難です。それを検知した技術力を持ち、わずか数件の不正ログインを公表した姿勢は評価できると思っています

 今回の攻撃でも、不正ログインをわずか3分間で検知し、アクセス元を特定して被害拡大を食い止めたということです。検知が遅れれば、被害はもっと大きくなっていたかもしれません。

▼評価できると思っています
筆者が審査員を務める「情報セキュリティ事故対応アワード」では、ディノス・セシールに2017年の優秀賞を贈った。
▼アクセス元を特定して
攻撃には201個のIPアドレスが使われ、すべて中国に割り振られたIPアドレスだったと発表している。