4月に「複数の会員サイトへの不正ログイン事件が発生」という記事を書いたのだが、その後も多くのサイトで不正ログイン事件が起きている。前回紹介したものも含め、3月から7月にかけて発生した事例についてまとめておく。
まとめ
| 対象 | 期間 | 試行回数 | 不正ログイン件数 (*1) | 成功率 (*2) | 影響範囲 |
|---|---|---|---|---|---|
| WebMoney | 8/28 - 8/29 | - | 1,261 | - | 顧客情報の閲覧 |
| ポイントタウン | 8/20 - 8/22 | - | 6,765 | - | 顧客情報の閲覧はなし |
| ヤプログ! | 8/20, 8/24, 8/27 | - | 5,755 | - | 顧客情報の閲覧 |
| @games | 8/3 - 8/13 | - | 83,961 | - | 顧客情報の閲覧 |
| Ameba | 4/6 - 8/3 | - | 243,266 | - | 顧客情報の閲覧 |
| GREE | 7/25 - 8/5 | - | 39,590 | - | 顧客情報の閲覧 |
| Tサイト | 7/25 - 7/26 | - | 27 | - | ポイント不正利用を確認 |
| ニフティ | 7/14 - 7/16 | - | 21,184 | - | 顧客情報の閲覧 |
| 楽天 | 5/10 - 7/10 | - | - | - | ポイントの不正利用を確認 |
| KONAMI | 6/13 - 7/7 | 3,945,927 | 35,252 | 0.89% | 顧客情報の閲覧 |
| 任天堂 | 6/9 - 7/4 | 15,457,485 | 23,926 | 0.15% | 顧客情報の閲覧 |
| ニッセン | 6/18 | 11,031 | 126 | 1.14% | 顧客情報の閲覧(?) |
| じゃらんnet | 2/14 - 2/16, 6/3 - 6/15 | - | 27,620 | - | 顧客情報の閲覧 |
| ハピネット | 4/24 - 5/31 | - | 9,609 (最大16,808) | - | 顧客情報(カード含む)の閲覧 |
| 阪急阪神百貨店 | - 5/13 | - | 2,382 | - | 顧客情報(カード含む)の閲覧 |
| 三越伊勢丹 | 5/6 - 5/23 | 5,202,002 | 8,289 | 0.16% | 顧客情報の閲覧 |
| 資生堂 | 5/6 - 5/12 | 約240,000 | 682 | 0.28% | 顧客情報の閲覧(?) |
| ディノス | 5/4 - 5/8 | 約1,110,000 | 約15,000 | 1.35% | 顧客情報の閲覧 |
| mopita | 4/18 - 4/19 | - | 5,450 | - | 顧客情報の閲覧 |
| NTT東日本 | 4/9 - 4/10 (*3) | 約24,000 | 77 | 0.32% | 顧客情報の閲覧 |
| eBookJapan | 4/2 - 4/5 | 2,821 | 779 | 27.61% (*4) | 顧客情報(カード含む)の閲覧 |
| goo | 4/1 - 4/9 | - | 108,716 | - | 顧客情報の閲覧はなし |
| JR東日本 | 3/31 | 約26,000 | 97 | 0.37% | 顧客情報の閲覧(?) |
| Tサイト | 3/26 | - | 299 | - | ポイントの不正利用を確認 |
(*1) 各事例において、不正ログイン件数に重複が含まれるのか、重複を除いた IDの件数なのかは不明。したがって成功率の意味合いも事例によって異なる可能性がある。
(*2) 成功率は試行回数全体に占める不正ログインに成功した件数の割合を示す。(成功率 = 不正ログイン件数 / 試行回数)
(*3) この期間の他に 4/4に 30件の不正ログインが確認されている。
(*4) eBookJapanへの攻撃の成功率が非常に高いのは、存在しない IDへのアクセス数が試行回数の中に含まれていないためだと思われる。
疑問
これらの事例を見ていて感じるギモンを挙げておく。
- 他社サービスから流出した情報を利用したパスワードリスト攻撃を受けたと主張しているサイトもあるが、総当たり攻撃(ブルートフォース)や辞書攻撃ではなくパスワードリスト攻撃だとする根拠はなにか? (eBookJapanは根拠となる具体的なデータを提示している。)*1
- 攻撃者の動機がよくわからない。ポイント不正利用は金銭に直接結びつくのでわかりやすいが、その他は何を目的としたものなのか? 特にログインに成功しただけで顧客情報も閲覧していないものは?
- 同時期に同業種のサイトが攻撃を受けていると思われる事例があるが、これらは同じ攻撃者によるものなのか? 他の事例ではどうなのか?
- 日本の事例ばかりを取り上げたが、海外でもこの種の攻撃は起きているのか?
- ユーザによるパスワードの使い回しは実際どの程度行われているのか?
パスワードの使い回し
最後のギモンについてはいくつか参考になりそうなデータを挙げておく。
- eBookJapanのケースでは 1回のアクセス試行しかしていない IDが (成功と失敗をあわせて) 1,713で、このうちログインに成功した IDが 386。1回のみ試行しているパスワードが他社から漏洩したものと仮定すると、22.53%のユーザがパスワードを使い回していることになる。
- 海外の複数のパスワード情報漏洩事件において、これらのサイトに共通するアカウントのパスワードを分析したところ、60%以上のユーザが使い回しをしていたとの報告もある。(例1、例2)
- 2007年に Microsoftの研究者が約54万人を対象に行った調査では、平均的なユーザはおよそ25サイトにアカウントを持っていて、約6.5個のパスワードを利用している。つまり 1つのパスワードを 4つのサイトで使い回している。("A Large-Scale Study of Web Password Habits")
- 2012年に IPAが行ったアンケート調査 (5,000名が回答) では、「サービス毎に異なるパスワードを設定している」と回答したのは全体の 22.2%だった。(「2012年度 情報セキュリティの脅威に対する意識調査」報告書について)
- 2012年に トレンドマイクロが行ったアンケート調査 (316名が回答) では、約7割のユーザが3種類以下のパスワードを複数のWebサイトで使いまわしていると回答した。1つのパスワードを使い回しているユーザも 13.9%いた。(プレスリリース- 2012/12/14)
海外の事例
具体的な事例ではないが、Akamaiが先月リリースした最新の 'State of The Internet' レポートの中に、不正ログイン事件に関して触れている部分がある。以下に該当箇所から一部引用する。
In the first and second quarters of 2013, Akamai observed attempted account takeover behavior for a number of merchants resulting from reuse of credentials obtained from other sites. Lists of username and password combinations are available in carder forums or on pastebin, or acquired from compromised merchants. Because users often use the same username and password across multiple merchants and other non-commerce sites, this allows attackers to use the compromised credentials on a number of target merchants.
Attackers have been using automated tools — known as “account checkers” — to quickly determine valid user ID/password combinations across a large number of e-commerce sites. Using these tools, attackers can identify valid accounts rapidly and gain access to the accounts, acquiring names, addresses and credit card data from user profiles, and can also fraudulently acquire merchandise.
参照
WebMoney
「WebMoneyファンクラブ」サイトへの不正ログイン発生に関するお知らせ (2013/08/29)
ポイントタウン (GMOメディア)
「ポイントタウン」への不正ログインの可能性について (2013/08/21) (8/23に更新)
ヤプログ! (GMOメディア)
「ヤプログ!」への不正ログインの可能性について (2013/08/21) (8/24,27に更新)
@games (GCREST)
【重要】アットゲームズ(セルフィタウン)への不正ログインに関するご報告 (2013/08/14)
【不正ログインについて】追加ご報告(8/16) (2013/08/16)
Ameba (サイバーエージェント)
「Ameba」への不正ログインに関するご報告 (2013/08/12)
「Ameba」への不正ログインに関する追加ご報告 (2013/08/16)
GREE
「GREE」への不正ログインに関するご報告 (2013/08/08)
Tサイト (CCC)
Tサイトへの不正ログインによるなりすまし被害について (2013/04/05)
Tポイント不正利用についてのお知らせとお願い (2013/07/26)
ニフティ
不正なログインの発生について (2013/07/17)
楽天
他社サイトから流出したID・パスワードを使った不正ログインの発生およびパスワード変更のお願いについて (2013/07/10)
KONAMI (コナミデジタルエンタテインメント)
「KONAMI IDポータルサイト」への不正ログイン発生のご報告とパスワード変更のお願い (2013/07/09)
任天堂
「クラブニンテンドー」サイトへの不正ログイン発生のご報告とパスワード変更のお願い (2013/07/05) (7/9に更新)
ニッセン
【重要】ニッセンオンラインショッピングサイトへの不正ログイン状況、及びお客様へのお願いについて (2013/06/19)
じゃらんnet (リクルートライフスタイル)
じゃらんnetへの「なりすましログイン」検知のご報告とパスワード変更のお願い (2013/08/08
ハピネット
オンラインショップへの不正アクセスについて (2013/06/03)
オンラインショップへの不正アクセスについて(経過報告)(2013/06/07)
阪急阪神百貨店 (エイチ・ツー・オー・リテイリング)
阪急・阪神百貨店オンラインショッピング、不正アクセスについて (2013/05/29)
三越伊勢丹
三越オンラインショップ・不正アクセスについて (2013/05/25)
資生堂
ワタシプラスにおける不正ログイン被害について (2013/05/17)
ディノス
【重要】セキュリティ強化のためのパスワード変更のお願い (2013/05/08)
【重要】弊社運営のオンラインショッピングサイトへの不正ログイン被害について ※セキュリティ強化のためのパスワード変更のお願い(第二報) (2013/05/09)
【重要】弊社運営のオンラインショッピングサイトへの不正ログイン被害について ※お客様情報を守るための【パスワード確認】のお願い(第三報)(2013/05/13)
【重要】弊社運営のオンラインショッピングサイトへの不正ログイン被害について ※お客様情報を守るための【パスワード確認】のお願い(第四報)(2013/05/16)
mopita (エムティーアイ)
弊社サービスへの不正ログイン被害のご報告 (2013/04/22)
NTT東日本
フレッツ光メンバーズクラブ会員サイトへの不正アクセスについて (2013/04/04)
不正アクセスへの対応等について (2013/04/10)
eBookJapan
重要なお知らせ】不正ログインに関する最終報告 (2013/04/05) (4/6, 4/9, 7/23に更新)
goo (NTTレゾナント)
gooIDアカウント不正ログイン被害について (2013/04/03)
gooIDアカウント不正ログイン被害について(続報)(2013/04/04)
gooIDへの不正ログイン被害について(終報)(2013/04/09)
JR東日本
My JR-EAST での不正ログイン発生とご利用のパスワード変更のお願い (2013/04/17)
更新履歴
(2013-08-07) 海外事例について Akamaiのレポートの内容を追記。
(2013-08-08) GREE、じゃらんnetの事例を追加。
(2013-08-12) Amebaの事例を追加。
(2013-08-19) @gamesの事例を追加。IPAとトレンドマイクロのアンケート調査結果について追記。
(2013-08-20) 不正ログイン件数などを一部補足、修正。
(2013-08-22) GMOメディアの 2件の事例を追加。
(2013-08-30) WebMoneyの事例を追加。
*1:1%前後の成功率であることから、辞書攻撃やパスワードリスト攻撃、あるいはリバースブルートフォース攻撃などの可能性が高いと考えられる。
