東京ガスWebサイト「myTOKYOGAS」への不正ログインに関する考察 -第2弾-

先日東京ガスのユーザーサイト「myTOKYOGAS」が不正アクセスを受け、個人情報が流出した件の考察を記載しましたが、9月22日にも個人情報流出&ポイント不正利用の報道発表を行っているので、追加で考察してみます。

前回の記事はコチラ

 

スポンサーリンク
 

1.今回の攻撃の内容

詳細はコチラの報告書に記載されているのですが、ざっくり攻撃の内容をまとめると以下の通りです。
 ・攻撃は9月11日以降
 ・攻撃手法はリスト型アカウントハッキング
 ・攻撃を検知できておらず、お客様申告で発見
 ・不正アクセスの件数は106件
 ・うち24件は合計38,000円相当のポイントを不正に他社ポイントに交換

2.対処について

対処として記載があるのは、以下の通りです。
 ・不正ログインされたアカウントの停止
 ・ポイント交換の停止
 ・パスワード変更の周知

3.経緯から推測できること

※以下の記載はあくまで公表された内容に基づく推測になります。

まず、報告書の記載がすべて正しいとすると、今回の攻撃元は国内のIPアドレスからということになります。悪用されたポイント交換についても、dポイントやPonta・WAON・nanacoなど国内でしか利用できないポイントに限られているため、国内に在住している人間による攻撃ではないかと考えられます。

また前回は攻撃10万件で17件の成功でしたが、今回は106件成功しています。総攻撃件数は公表されていませんが、お客様からの申告で気づいた(システム屋としては一番まずい)ということなので、リソース不足等のエラーが上がらない程度の少ない攻撃件数だったのではないでしょうか。ここから、前回よりもかなり精度の高いユーザーリストを保有していたことが分かります。

以上の違いから、前回と今回で攻撃者が異なるのではないか、と考えることができます。前回の攻撃の報道発表および対処策を見た日本国内のハッカーから「国内からだったら、まだ攻撃できるな!」と思われてやられてしまったのかもしれません。

4.対処について

前回の記事でも書いていますが、海外からのアクセスブロックでは恒久対処になりません。恒久対処としてはリスト型アカウントハッキングをさせない、もしくはブロックできる以下のような仕組みが必要だと考えます。

・アカウント名にメールアドレスを使うのをやめる
 →リスト型攻撃で狙われやすい、いっそのこと顧客コードにしてしまえば?

・二要素認証を取り入れる
 →ワンタイムパスワードやSMS認証などがないと、ログインできなくする

・CAPTHA認証やパズル認証などの画像認証を取り入れる
 →ツールなどによる自動的なログイン操作できないようにする

・WAFを導入する
 →リスト型アカウントハッキングを検知・ブロックできる
 →ScutumやSymentecWAFのようなSaaS型であれば短期間で導入可能

・リスクベース認証を導入する
 →通常と異なる場所、端末でアクセスした場合に秘密の質問を投げかける

また上記に併せて、攻撃されたとしてもすぐに気づけるような、ログイン失敗回数異常のアラートを出力する仕組み作りが急務だと思います。

 

スポンサーリンク

3件のコメント

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です