情報セキュリティの脅威はすぐそこに

リスト型攻撃、悪いのは誰か

ファーストリテイリング社は自社が運営するユニクロとジーユーのオンラインストアにおいて不正ログインが発生したと公表しました。

規模としては約46万件とされており、数字のインパクトとしてはかなり大きなものです。またカード番号やセキュリティコードなどは閲覧されていないものの、住所・氏名・電話番号・購入履歴などに加えて、登録してある体のサイズというややセンシティブな情報が閲覧された可能性があるということで内容面でのインパクトも大きいと言えます。



ただしファーストリテイリング社のリリースによると、手口としてはリスト型攻撃によるものとされており、直接的にはファーストリテイリング社側に非はないというのは重要なポイントです。
つまり『他のサイトなどから流出したIDとパスワードの組』を入手した犯人が、日本国内で最大級の会員数を誇ると思われるオンラインストアにログイン試行をしてみたところ、46万件もログインできてしまったというのが真実なのかもしれません。
少なくともこの46万人は他のサービスで利用しているIDとパスワードをユニクロやジーユーのサイトでも使い回しているということになります。
そのためファーストリテイリング社も「今後、同様の事象が発生しないよう、より一層のセキュリティ強化と安全性の確保に努めてまいります。」とは言うものの、「他社サービスと同じパスワードを設定しないことが、リスト型攻撃を防ぐ方法の1つです。」とも指摘しており、ユーザー側の意識の持ちようによるところか大きいわけです。
Twitterなどを見るとファーストリテイリング社に対する批判も少なからず見受けられますが、リスト型攻撃による不正ログインの検知の難しさを考えるとやや非難されすぎのようにも感じられます。
犯人の側は「正しいIDとパスワードの組」を持っているわけで素直にログインできて当たり前ですし、ある意味で正面突破であるためWAFやファイアウォールなどで防げるような類のものでもありません。
強いて言えば、
・同一IPアドレスからの複数ログイン試行
・同一IPアドレスからの多IDログイン
などを検知して一時的にでもブロックするというアプローチは可能かもしれませんが、集合住宅などで同一IPアドレスから多数のログインが発生する可能性もあり得ることから閾値の設計が難しそうですし、犯人側もそれを予期して
・ゆっくり試す
・複数の踏み台サーバを切り替える
などの手段を取ることもできるため、決定的に有効な対策は取りづらいのではないかと思われます。

2要素認証を導入することでリスト型攻撃に対する耐性は飛躍的に上がりますが、今回他のサイトとパスワードを使いまわしていたために不正ログインをされてしまったような意識の人が、2要素認証を設定するような動機は存在するのでしょうか。
そんな状況であるにも関わらず「やっぱりユニクロはなんか信用できないな」という批判が湧いてきてしまうことに同情を禁じえません。

悪いのはもちろん犯人ですが、そもそも「IDと平文のままのパスワード」が流出したのかもしれないどこかのサービスもだいぶ罪深いです。
フィッシング対策協議会の調査によると「平文でパスワードを管理していると思われるネット事業者が14% 」という恐ろしい結果が出ています。
今年1月の宅ふぁいる便の事件記憶に新しいところですが、何故未だにパスワードの平文管理をしているサービスが存在するのかが不思議でなりません。
流出しないことが大前提ではありますが、万が一流出した時のダメージコントロールとしても暗号化などの措置をするべきという考え方が一刻も早く広まって欲しいと思います。
平文保存をしている事業者の言い分は「ユーザーがパスワードを忘れた時に教えたい」ということなのだとは思いますが、システム側だとは言え本人以外がパスワードを知りうる状況が愚かであるという認識を持っていただきたいものです。
そして一般のユーザーにおいては極力サービスごとに別のパスワードを使って使い回しをしないということと、パスワードを問い合わせた時にそのまま教えられるサービスは危険だという認識を持つべきだという考え方が広まって欲しいと思います。