家電量販コジマのECサイトにリスト型攻撃で不正アクセス、顧客情報が閲覧された可能性
家電量販店のコジマは5月23日、第三者によって外部で不正取得されたと思われる他サイトの会員ID・パスワードを用いて、何者かがECサイト「コジマネット」に不正アクセスしたことが発覚したと発表した。
詳しい事実関係は現在調査中としており、すでに警察当局に届け出を行い、捜査に全面的に協力している。
不正アクセスされたと思われる顧客の会員IDは、事案発覚後にパスワードを無効化し、パスワードの再設定のお願いを個別にメールで案内している。顧客には会員ID・パスワード管理の重要性を理解してもうらとともに、
- 他のWebサイトなどと同一の会員ID・パスワードを使用しない
- 「コジマネット」のパスワードを定期的に変更する
ことを実施するように顧客へ呼び掛けている。
なお、不正アクセスによって、顧客情報(氏名、住所、連絡先、メールアドレス、購入履歴)が第三者に閲覧された可能性があるが、クレジットカード情報は含まれていない。
今回の不正アクセスは、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われたと考えられる。
「リスト型アカウントハッキング(リスト型攻撃)」に関してはファーストリテイリングが5月14日、運営するECサイト「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」において、顧客以外の第三者による不正ログインが発生したと発表。
5月15日時点で判明している不正ログインされたアカウント数は、「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」で46万1091件。
「リスト型アカウントハッキング(リスト型攻撃)」への対応策
「リスト型アカウントハッキング(リスト型攻撃)」による不正ログインへの対応策については、総務省が2013年に次のような施策を事業者に向けて公表している。
攻撃を予防する対策
- ID・パスワードの使い回しに関する注意喚起の実施
サービス毎に異なるID・パスワードを設定するよう利用者に注意喚起する - パスワードの有効期間設定
パスワードに有効期限を設定し、利用者に定期的に変更させる - パスワードの履歴の保存
数世代前に使用したパスワードへの変更を認めないようにする - 二要素認証の導入
ID・パスワード以外の認証要素(ワンタイムパスワードなど)を追加する - ID・パスワードの適切な保存
サービス運営事業者において暗号化などID・パスワードの適切な保存を行う - 休眠アカウントの廃止
長期間利用実績の無いアカウントをデータも含めて削除する - 推測が容易なパスワードの利用拒否
パスワード・ポリシーを定め、推測が容易なパスワードの利用を拒否する
攻撃による被害の拡大を防ぐ対策
- アカウントロックアウト
同一のIDに対して一定の閾値以上の認証エラーが発生した際にアカウントを一時停止する - 特定のIPアドレスからの通信の遮断
特定のIPアドレスから閾値以上のログイン要求が発生した際に、当該I Pアドレスからの通信を遮断する - 普段とは異なるIPアドレスからの通信の遮断
通常ログインされているIPアドレスとは大きく異なるIPアドレスからのログイン要求が発生した際に、当該IPアドレスからの通信を遮断する - ログイン履歴の表示
ログイン履歴を保存し、利用者がアカウントの利用実績を認識できるように設定する
総務省が公表した「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」は以下のサイトから確認できる。
