複数の会員サイトへの不正ログイン事件が発生

(4/9, 4/17 追記あり)
先週、複数の会員サイトで不正ログインが続けて発生しました。

日付 サイト 概要 参照
3/26 Tサイト 299 IDで不正ログインによるポイントの利用 (1)
4/2-4/9 goo 約10万アカウントで不正ログイン (2)(3)(4)
4/4, 4/9-4/10 フレッツ光メンバーズクラブ 30アカウントで不正ログインされ、ニックネームと保有ポイント数が閲覧。さらに77件の不正ログインを追加で確認 (5)(6)
4/1-4/5 eBookJapan 779人分のアカウントに不正ログイン (7)
3/31 My JR-EAST 97人分のアカウントに不正ログイン (8)

(日付は報告されている発生日時にもとづいています。)

(1) ニュースリリース|CCC カルチュア・コンビニエンス・クラブ株式会社
(2) gooIDアカウント不正ログイン被害について- プレスリリース - goo
(3) gooIDアカウント不正ログイン被害について(続報)- プレスリリース - goo
(4) gooIDへの不正ログイン被害について(終報)- プレスリリース - goo
(5) フレッツ光メンバーズクラブ会員サイトへの不正アクセスについて | お知らせ・報道発表 | 企業情報 | NTT東日本
(6) 不正アクセスへの対応等について | お知らせ・報道発表 | 企業情報 | NTT東日本
(7) 【重要なお知らせ】不正ログイン被害のご報告とパスワード再設定のお願い:電子書籍・コミックはeBookJapan
(8) My JR-EAST での不正ログイン発生とご利用のパスワード変更のお願い
(注) eBookJapanは当初報告の720人から779人に4/9に修正。さらに増加の可能性があるとのこと。またフレッツ光メンバーズクラブも当初報告の30件に加えて77件の不正ログインを新たに確認したと 4/10に報告。


これらの事件に共通しているのは、「特定の IPアドレスから大量のアクセスがあり、不正ログインを試みている」という点です。
具体的な攻撃方法ははっきりしていないのですが、可能性として考えられるのは以下でしょうか。

  1. 別のサイトから漏洩した IDとパスワードのリストを使用 (パスワードの使い回しを狙ったもの)
  2. 簡単に推測できるパスワードを試行 ( "123456", "password" や、いわゆる Joeアカウントなど)
  3. 辞書攻撃や総当たり攻撃などの力技 (とにかくいろいろなパスワードを試す)


例えば gooのケースでは、公式のプレスリリースには記載がありませんが、Internet Watchの記事では次のように説明されています。

「gooID」に不正ログイン攻撃、10万アカウントが突破される -INTERNET Watch

また、当初は、ありがちなパスワードなどを総当たりで試行する辞書攻撃(ブルートフォースアタック)とみられていたが、攻撃ログを解析したところ、単一ID・単一パスワードの一対のセットでログインを試行し、成功しなければ次のセットを順に試行していく手法がメインであることも判明してきた。

 すなわち、どこかのウェブサービスで実際に使われているID・パスワードのセットリストを攻撃者が入手して使っていることが考えられ、それと同じ文字列のID・パスワードのセットをgooIDでも“使い回し”しているアカウントが突破された可能性が高い。

 なお、NTTレゾナントによれば、ID・パスワードのセットリストは、同社から漏えいしたものではないとしている。また、不正ログインの試行に使われたIDの文字列の中には、gooIDで使用が認められていない文字種や文字数のものも含まれていたことから、他社サービスで使われていたID・パスワードのセットリストが流出した可能性が高いとみている。

 実際、すでに10万アカウントという規模で不正ログインが成功しているわけだが、ログからは、その何倍ものログイン試行が失敗していることが確認されているという。このことからも、攻撃に使われているID・パスワードのセットリストが、特にgooIDだけに限定されたものではないことがうかがえる。なお、gooIDの現時点での登録数は約1800万アカウント。

他のケースも含めて、1. または 2. の方法で突破された可能性が高いような気がします。(単なる推測です。辻さんの記事も参考になります。)

それにしても気になるのはやはり gooのケースですね。会員の母数が多いにしても、10万アカウントという数は他とは桁違いです。仮にIDとパスワードのリストが使われたとして、パスワードを使い回すユーザの割合を約 1割と見積ると、少なくとも 100万アカウント単位のリストが必要になります。数十万から数百万単位のアカウント情報流出はいまや珍しくないので、それらから効果的なリストを作成したのかもしれませんし、報道されていない国内事業者からの情報流出が起きているのかもしれません。あるいはパスワードを使い回すユーザがもっと多かったのか、何らかの理由でより精度の高いリストなのか、他の攻撃手法を組み合わせることで成功確率を上げたのか。いずにせよ非常に興味深いです。gooさんにはぜひ攻撃の詳細を明らかにしてほしいですね。(外野はいつも勝手なことを言うものです。^^)

(4/9 追記)
gooから最終報告がでました。実質的な被害はなかったものの、万全を期すために全ユーザのアカウントをロックしパスワードリセットを行うようです。
gooIDへの不正ログイン被害について(終報)- プレスリリース - goo

 2013年4月3日に初報、翌4日に続報を公表させて頂きましたが、NTTレゾナント株式会社(東京都港区)は、gooIDへの不正ログイン被害について、被害状況調査と全容把握、警察への被害に関する相談、その他必要となる対処・措置を実施しましたことをご報告申し上げます。なお、当社といたしましては、類似の被害報告が多数報道されるなか、今後も同様の不正行為が繰り返される恐れのあることから、引き続きお客様へgooIDとパスワード管理の重要性についてご理解をいただく努力を行うとともに、再度、犯行者(もしくはグループ)による不正ログインの痕跡が認められたアカウント以外のgooIDアカウントに対しましてもログインロックをさせていただき、あらためてパスワード再設定のお願いをさせていただくことといたしました。

(4/9 追記)
eBookJapanからも追加報告があり、不正ログインの数が 720→779に増加しました。また当初報告していたような総当たり攻撃ではなく、IDとパスワードのリストを使用した攻撃だったと報告しています。また不正なログインの成功および失敗までの試行回数も分析しており、非常に興味深い内容になっています。こうした詳しい内容を攻撃を受けた企業が公開することは珍しいのですが、とてもよい試みだと思います。
(ちょっと長いですが、そのまま引用します。)
【重要なお知らせ】不正ログイン被害のご報告とパスワード再設定のお願い:電子書籍・コミックはeBookJapan

・eBookJapanサイトにおきまして、2013年4月5日(金)午前10時30分頃、サーバーの高負荷が検知されたことから詳しい調査を行ったところ、779アカウントに対して不正の疑われるIPアドレスからログインが行われました。
 -前回ご報告に比べて不正の疑われるIPアドレスが増加し、60アカウントほど増加しております。
 -上記は4月分までの調査結果ですので、今後3月以前分に調査範囲を拡大した際に、さらに増加する可能性があります。

・前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。
 -つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。
 -そのように判断した根拠は、一つのログインID(メールアドレス)について試行するパスワードの数の少なさです。

○ ログイン成立分

IDあたりPW試行回数 該当ID数
1 386
2 347
3 37
4 4
5 5

注) 1つのログインIDについてPWを試行した回数は最大5回までであり、1回しか試行していないのに正当したアカウントが半数近くを占めている。

○ ログイン失敗分

IDあたりPW試行回数 該当ID数
1 1327
2 72
3 20
4 7
5 3
6 1
9 1

注) 1つのログインIDについてPWを試行した回数は最大9回までであり、1回だけで断念しているアカウントが9割を占めている。

 -なお、当社サーバーからログインIDやパスワードが直接漏洩した形跡はございません。

(上記の発表を受けて書かれたこちらの徳丸さんの記事もとても参考になります。ぜひご覧ください。)


なお 3月にも複数のサイトで似たような不正アクセスが報告されていますが、これらの事件に関連があるのかどうか、よくわかりません。

日付 サイト 概要 参照
3/3 予想ネット 複数の会員で不正アクセスによるデータ改ざんとポイント交換の被害 (9)
3/20 ハピタス 2人の会員が第三者による不正なポイント交換の被害 (10)
3/22 一休.com 不正なログインを検知してブロック (被害なし) (11)(12)

(9) (03/04) ポイント交換メニューの一時利用休止について
(10) 重要なお知らせ | ハピタス
(11) サイトごとに違うパスワードを設定されることをおすすめいたします[一休.com]
(12) パスワード変更のおすすめ (PDF)


上記の一休.comの報告では次のような説明がされています。

この度、弊社では一休.comサイトへの不正アクセスを検知したことにより調査を行いましたところ、【他のサイト等での登録パスワード】を取得した第三者が、一休.comの登録に対しても同一情報でログインを試行している事実が判明いたしました。

関連性は不明ではあるものの、似たような攻撃手法が使われていることがわかります。

過去の事例

こうした不正ログインの試行というのは過去にも度々起きています。さきほど紹介した 3月の事例もそうでしたが、特にポイント交換サイトでの不正ログインによるポイント交換が発生しています。


2012年 4月 「Gポイント」で会員のポイントが無断で商品券に交換される被害が発生。5万人以上の IDに不正アクセス、うち 442人でポイント交換 (約160万円相当) の被害。
「Gポイント」に対する不正アクセスの調査状況について(4/24 19:15更新):サポートセンターからのお知らせ

2012年 3月 「ネットマイル」で不正アクセスによるポイント交換の被害が発生。
不正アクセス対応について | カンタン!貯まる!使える!ポイント サービス:ネットマイル

2011年 6月 「ソニーポイント」で第三者によるなりすましによるポイント交換 (約28万円相当) が発生。
“なりすまし”によるソニーポイントの不正利用への対応について | ソニー

2011年 6月 「PeX」で第三者が不正にログインしてポイント交換する被害が発生。
お知らせ一覧 | ポイント交換のPeX

2011年 5月 「ソネットポイント」で第三者によるなりすましによるポイント交換 (約10万円相当) が発生。
お知らせ:“なりすまし”による「ソネットポイント」の不正利用への対応について|So-net 会員サポート


攻撃方法が不明なものが多いですが、PeXのケースでは次のように説明されています。

第三者(不正者)が不正にPeX会員の登録へログインし、 その第三者が不正にポイント交換手続きを行い、ポイントを取得するという『なりすまし』行為による被害が発生いたしました。

また、第三者が不正にポイント交換を行うために、繰り返し大量のログインを試みていた履歴も確認できました。

このログイン試行の履歴にて、PeXに登録のないメールアドレスでのログインが大量に試されていたことから、第三者がなにかしらの方法により取得した情報を利用し、PeXへのログインを行った可能性がございます。

不正ログイン攻撃の発生状況

警察庁では毎年不正アクセスの発生状況について公表していますが、今回のような不正ログイン攻撃はどの程度発生しているのでしょうか。

平成 24年 3月の報告では、「ID・パスワードが使い回しされている状況につけ込んだ『連続自動入力プログラムによる不正ログイン攻撃』」が発生していることから、複数のサービス事業者に協力を依頼して、このような攻撃を観測した結果 (対象は平成 24年 2月) を公表しています。結果は次の表のとおりで、誤検知が含まれる可能性はあるにせよ、数パーセントの確率で攻撃が成功していることがわかります。


平成 23年中の不正アクセス行為の発生状況等の公表について (平成 24年 3月 15日)
http://www.npa.go.jp/cyber/statics/h23/pdf040.pdf

協力企業数 のべログイン試行回数 のべ不正アクセス回数 侵入率
13社 260,896回 17,514回 6.7%

(注) 「のべログイン試行回数」は、①同一のIPアドレスから ②短時間の間に ③多数のID・パスワードを入力された等の基準により、各企業が連続自動入力プログラムによる不正ログイン攻撃であると独自に認めたもので、「のべ不正アクセス回数」に正規利用権者が行った正当なログインが含まれている可能性は理論的には排除できない。(上記の公表資料より引用)


また平成 25年 3月の報告では、参考情報としながらも約 11万件の不正ログインがあったことを明らかにしています。

平成 24年中の不正アクセス行為の発生状況の公表について (平成 25年 3月 28日)
http://www.npa.go.jp/cyber/statics/h24/pdf040.pdf

(参考)連続自動入力プログラムによる不正ログイン攻撃の状況
連続自動入力プログラムによる不正ログイン攻撃の結果、114,013件の不正ログインが行われていた旨の資料提供を受けている。

このような不正ログイン攻撃はそれなりに成功率の高い攻撃方法として確立しており、定常的に行われていると言えそうです。


警察庁では不正アクセス防止対策に関する官民意見集約委員会(官民ボード)において、平成 23年末に「不正アクセス防止対策に関する行動計画」を策定しています。この中で「不正ログイン対策」として、以下の 3つを挙げています。取り組みはまだ道半ばという感じでしょうか。

  1. 自動入力プログラムを用いたID・パスワードの連続入力による不正アクセス行為の取締りの強化【警察庁】
  2. ID・パスワードのリストの不正流通への対策の強化【警察庁、総務省経済産業省、アクセス管理者】
  3. 不正ログイン対策技術の導入等、アクセス管理者による不正ログイン対策の取組の推進【警察庁、総務省経済産業省、IPA、アクセス管理者】
対策

不正ログインを素早く検知してブロックする、二要素認証を導入するなど、事業者側の対策ももちろん必要ですが、ここではユーザ側の自衛策について考えてみます。

上記の被害にあったサイトでもユーザにすすめていますが、まず次の 2つは基本中の基本でしょう。

  • 第三者に簡単に推測されるようなパスワードを設定しない
  • 異なるサイトで同じパスワードを設定しない

そして利用可能であれば、ワンタイムパスワードなどによる二要素認証を積極的に利用しましょう。まだ導入している事業者は少数ですが、少しずつ増えています。有名なサイトでは Google, Facebook, Dropbox, Yahoo!, Yahoo! Japan などが対応しています。

ところで「弱いパスワードを設定しない」「パスワードの使い回しをしない」ためには、どうしたらよいのでしょうか。覚えるパスワードが 1つや 2つならいいですが、ほとんどのユーザはそれ以上に多数のパスワードを使っているでしょう。そんな場合には「パスワード管理ソフト」を是非使いましょう。そして各サイトのパスワードは長くてランダムなものを設定します (管理ソフトにそういう機能が備わっています)。自分で覚えるわけじゃないのですから、そのサイトで設定できる最大の長さにしてもいいと思います。私のオススメは LastPassですが、他にもいろいろあります。好みもあると思いますので、使ってみて気にいるものを探してみてください。(またまた辻さんの記事が大変参考になります。今回の事件につい解説したコチラの記事も。)

代表的な 3つを以下にあげておきます。

その他の参考情報

今回のような「オンライン攻撃」だけでなく「オフライン攻撃」も含めて、徳丸さんの記事ではパスワードへの攻撃についてわかりやすくまとまっています。
本当は怖いパスワードの話(1/4) − @IT

また今回の件と直接関係はしませんが、不正に取得されたアカウント情報がネット上に公開されていることがあります。こうしたリストを Twitterやブログ等で紹介したりすると、不正アクセス禁止法の第五条「不正アクセス行為を助長する行為の禁止」に違反する可能性があるので注意しましょう。高木さんの記事に詳しく解説されています。
高木浩光@自宅の日記 - 流出パスワードの紹介は改正不正アクセス禁止法第5条に注意


更新履歴

  • (4/7 PM) 記事公開
  • (4/9 PM) gooからのプレスリリース (終報) について追記しました。
  • (4/9 PM) eBookJapanからの追加報告の内容について追記しました。
  • (4/10 PM) NTT東日本からの追加報告の内容について追記しました。
  • (4/17 PM) My JR-EAST (JR東日本)でも不正ログインが確認されたため、追記しました。