ECサイトへのパスワードリスト攻撃が増えている? 事業者がとるべき対策は?
顧客本人以外の第三者から「リスト型アカウントハッキング(リスト型攻撃)」によって不正なログイン攻撃を受けるECサイトが増えている。
ハードオフコーポレーションは1月10日、通販サイト「ハードオフネットモール」において、「リスト型アカウントハッキング」による不正なログインがあったと発表した。
不正ログインが確認された顧客のアカウント数は、「ハードオフネットモール」に登録している149件。
「リスト型アカウントハッキング(リスト型攻撃)」は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃。
「ハードオフネットモール」で閲覧された可能性のある顧客の個人情報は次の通り。
- 氏名(姓名、フリガナ)
- 住所(郵便番号、市区郡町村、番地、部屋番号)
- 電話番号、携帯電話番号、メールアドレス、性別、職業、生年月日、購入履歴
- 配送先の氏名(姓名、フリガナ)、住所、電話番号
- クレジットカード情報の一部(カード名義人、有効期限、クレジットカード番号の一部)
*クレジットカード番号は、下3桁以外は非表示としており、保存していない。
不正ログインのあったIDは、パスワードを変更しなければ使用できないように対策を講じた。対象の顧客には個別に案内している。不正ログインが試行された通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化。また、警察には通報済み。
ハードオフコーポレーションはプレスリリースで、消費者に「他社サービスとは異なるパスワードを設定する」「第三者が容易に推測できるパスワードを使用しない」ことを呼びかけている。
近年、「リスト型攻撃」の被害に遭うECサイトが相次いでいる。ファーストリテイリングは2019年5月、ECサイト「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」において、顧客以外の第三者による不正なログインが発生したと発表。家電量販店のコジマは2019年5月、第三者によって外部で不正取得されたと思われる他サイトの会員ID・パスワードを用いて、何者かがECサイト「コジマネット」に不正アクセスしたことが発覚したと発表している。
「リスト型アカウントハッキング(リスト型攻撃)」への対応策
「リスト型アカウントハッキング(リスト型攻撃)」による不正ログインへの対応策については、総務省が2013年に次のような施策を事業者に向けて公表している。
攻撃を予防する対策
- ID・パスワードの使い回しに関する注意喚起の実施
サービス毎に異なるID・パスワードを設定するよう利用者に注意喚起する - パスワードの有効期間設定
パスワードに有効期限を設定し、利用者に定期的に変更させる - パスワードの履歴の保存
数世代前に使用したパスワードへの変更を認めないようにする - 二要素認証の導入
ID・パスワード以外の認証要素(ワンタイムパスワードなど)を追加する - ID・パスワードの適切な保存
サービス運営事業者において暗号化などID・パスワードの適切な保存を行う - 休眠アカウントの廃止
長期間利用実績の無いアカウントをデータも含めて削除する - 推測が容易なパスワードの利用拒否
パスワード・ポリシーを定め、推測が容易なパスワードの利用を拒否する
攻撃による被害の拡大を防ぐ対策
- アカウントロックアウト
同一のIDに対して一定の閾値以上の認証エラーが発生した際にアカウントを一時停止する - 特定のIPアドレスからの通信の遮断
特定のIPアドレスから閾値以上のログイン要求が発生した際に、当該I Pアドレスからの通信を遮断する - 普段とは異なるIPアドレスからの通信の遮断
通常ログインされているIPアドレスとは大きく異なるIPアドレスからのログイン要求が発生した際に、当該IPアドレスからの通信を遮断する - ログイン履歴の表示
ログイン履歴を保存し、利用者がアカウントの利用実績を認識できるように設定する
総務省が公表している資料は「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」。