orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

セシールオンラインショップの度重なる不正アクセスを考える

f:id:orangeitems:20180607120255j:plain

 

セシールオンラインショップでの不正アクセス

株式会社ディノス・セシールが運営する「セシールオンラインショップ」にて、2018年6月2日に不正アクセスが発生したとのニュースです。

セシール顧客情報流出か、中国から不正アクセス : 社会 : 読売新聞(YOMIURI ONLINE)

通信販売会社「ディノス・セシール」は6日、インターネット販売サイトの「セシールオンラインショップ」で不正アクセスがあり、顧客情報が閲覧された可能性があると発表した。

 2日に中国のIPアドレス(インターネット上の住所)から不正アクセスが1938件あった。490人分がログインされ、氏名や所有ポイント数が閲覧された可能性がある。

 

正式な報告書も掲載されております(PDF)。

弊社「セシールオンラインショップ」への不正アクセスとお客様情報流出の可能性に関するお詫びとお知らせ |株式会社ディノス・セシール

 

報告書を読み解く

2018年6月2日に発生した件を6月6日に自ら報告しているので、発表自体は遅くないと思います。発生してから被害の確認、そして情報をまとめて報告するというプロセスに3日程度かかるのは理解できます。気になるのは、セシールオンラインショップを閉めていないことです。なぜ閉めたほうがいいかについては後述します。

次に、今回の不正アクセスの手法は「なりすまし」とあります。

弊社が運営する「セシールオンラインショップ」において、6 月2 日(土)・10 時19 分~22 分にかけて同一IP アドレス(中国)より、メールアドレス・パスワードを使った、“なりすまし”による不正アクセスが発生し、その一部が不正ログインされ、お客様情報(氏名、所有ポイント数)が第三者に閲覧された可能性があることが判明。そのため、攻撃元IP アドレスを自動遮断処理によってアクセス不可の状態に遷移させたものの、その後も他の複数 IP アドレス(全て中国)から不正ログイン試行が続いたため、プロバイダー単位のアクセス遮断対応を実施。

 

初めの3分間でどれくらいのログイン試行があったのはわかりませんが、これだけで不正アクセスと気が付くということは、何らかの不正アクセスツールを利用し、大量にログイン試行したことは明らかです。問題なのは、同一IPアドレスからの大量ログイン試行についてアプリケーション側で制限をかけていない仕様です。昨今、リスト攻撃やブルートフォース攻撃はごくごく一般的です。しかも億単位で他のメジャーサイトからメールアドレスとパスワード組み合わせが流出していますので、そのリストを別サイトで試すというのはECサイトを運営するのならば準備しておかなければいけないと思います。そこまで難しい実装ではないはずです。近年、パスワードスプレー攻撃なる攻撃もあり、ログイン試行制限をかいくぐる攻撃もあるくらいです。少なくとも、最低限の防御策だと思います。どうしてもアプリケーション側で実装できないのなら、WAF(Web application firewall)を利用すべきでしょう。何しろ同じIPアドレスから同一フォームに短時間に大量アクセスするのは異常な使い方です。

不正アクセスに用いたIDが、現在登録されているIDとすべて一致するというのは、確かに他サイトから漏れたものではないと思われます。なお、この経路がわかっていない段階で当サイトをオープンしたままにしているのは気持ちの悪いところです。

暫定対策として、中国全土のIPアドレスを拒否したとありますが、いわゆるジオブロッキングになると思います。一部のECサイトでは中国からの購入はないと判断し元からブロックしているところもあるようです。暫定対策としては良いかもしれませんが、VPNを使ったり、日本のホスティングサーバーを経由してアクセスしたりと、これだけで防げるものではありません(クラウド社会の功罪です)。

そもそも、本サイトの不正アクセスは初めてではありません。4度目です。これも後述します。このレベルの対策で再開してもまた発生します。恒久対策をどうするのかを明確にすべきだと思います。

 

経緯

経緯をまとめました。

 

(1) 2015年7月16日

「セシール」に不正アクセス 161万円分の不正注文 個人情報流出の可能性も - ITmedia NEWS

ディノス・セシールは7月16日、同社のオンラインショップ「セシール」が不正アクセスを受け、計約161万5000円分の不正受注があったと発表した。配送の差し止めなどで実被害は約55万7000円に抑え、顧客の被害は同社が補てんした。不正ログインにより、「セシール」と「ディノス」合計最大で152人分の個人情報が流出した可能性もあるという。

(中略)

経緯を調査したところ、計18のIPアドレスから計151人のアカウントに不正ログインがあったことが発覚。ディノスでも同じIPアドレスからの不正ログインを確認したところ、1件発覚した。不正ログイン時に使われたIDとパスワードは同社から流出したものではなく、第三者が外部で不正取得したものとみている。

 

(2) 2016年8月31日

【セキュリティ ニュース】セシールの通販サイトで不正ログイン被害 - 50回の試行で8件成功(1ページ目 / 全1ページ):Security NEXT

通販サイト「セシールオンラインショップ」において、本人以外の第三者によって不正にログインされる被害が発生した。他サービスで取得されたアカウント情報を用いる「パスワードリスト攻撃」と見られている。

同サイトを運営するディノス・セシールによれば、8月31日22時36分から50分にかけて、同一のIPアドレスから50回にわたりログインの試行が行われ、そのうち8件でログインに成功していたという。翌9月1日に被害へ気が付いた。

 

(3) 2017年7月31日

【セキュリティ ニュース】わずか1分11回のみの不正ログイン攻撃受ける - ディノス・セシールが公表(1ページ目 / 全1ページ):Security NEXT

ディノス・セシールは、同社通販サイト「セシールオンラインショップ」が、ごく短時間のパスワードリスト攻撃を受けたことを明らかにした。
同社によれば、7月31日15時過ぎから約1分間、国内の同一IPアドレスより本来の利用者とは異なる第三者が不正にログインを試みる「パスワードリスト攻撃」を受けたという。

 

(4) 2017年8月21日

ASCII.jp:ディノス・セシール通販サイトに「なりすまし」による不正アクセス

(株)ディノス・セシールは24日、通販サイト「セシールオンラインショップ」で、本人ではない「なりすまし」による不正アクセスが発生し、一部の顧客情報の閲覧と、顧客情報が改ざんされた可能性があると発表した。

 今回の不正アクセスは、まず21日に1人の顧客情報に対し、同じアドレスから2回のログインがあった。該当する顧客情報の本人にログインの確認を取ったところ、本人はログインしていないことが判明。この際、登録情報(氏名、所有ポイント数)が第三者によって閲覧された可能性と、第三者のクレジットカード情報の登録など、登録情報の改ざんが行われたことが23日にわかった。

 

(5) 2017年9月22日

【セキュリティ ニュース】セシール通販サイトに再度不正ログイン - ポイント不正交換や情報改ざんが発生(1ページ目 / 全1ページ):Security NEXT

通信販売サイト「セシールオンラインショップ」では、7月末から断続的に不正ログインによる不正アクセスを受けているが、再度被害が確認された。

同サイトを運営するディノス・セシールによれば、9月22日14時13分から42分、および16時54分から17時9分にかけて、同一の国内IPアドレスから、利用者以外の第三者によって不正にログインされる被害を確認したもの。

 

(6) 2017年11月4日、5日

【セキュリティ ニュース】「ディノスオンラインショップ」に不正ログイン - 情報改ざんや不正注文が発生(1ページ目 / 全1ページ):Security NEXT

同サイトを運営するディノス・セシールによれば、11月4日と同月5日に、利用者以外の第三者によって不正にログインされる被害が発生したもの。不正ログインされた顧客の1人が登録情報の変更に気付き、12月3日に同社へ連絡したことで問題が発覚した。

 

(7) 2018年6月2日

こちらが今回の件です。

 

どうすればいいか

怪しい状況を情報公開しているのは良い姿勢なのですが、あまりにも同様の問題が起き過ぎで、ここはサイトを止めてでも徹底調査をするべきだと思いました。毎回、発生する度に「セキュリティーを強化する」では説得力がないと思います。

 

個人的に対策を考えてみます。

流出ルートをまずははっきりさせないといけません。第三者機関のフォレンジックサービスなどを利用して、今ある情報を洗った方がいいと思います。本来ならばサービスを停止し、今の状態をフリーズしてから調査に取り掛かるべきかと思います。業界大手のラックのサービスを紹介します。「フォレンジック」というのがキーワードです。

情報漏えい対策『情報漏えいチェックサービス』 | セキュリティ対策のラック

かつ、調査結果を公表すべきかと思います。社内を疑うのは痛みを伴うと思いますが、流出ルートが確立していないとこれだけ長きにわたって攻撃が成功し続けるわけがないと思います。

次に、同一IPアドレスからの大量ログイン試行の問題です。WAFでの対策が急務かと思います。人手で抑止するのは不可能です。これも適した記事を紹介します。アプリケーション実装である程度は防げるものの、高度に防止するためには下記のような機械的な検知・防御の仕組みが重要です。

ソリューション - “正面突破”だから、たちが悪い。不正ログイン対策はなぜ難しいのか? “効く”対策は?

 

おそらく監視や検知の仕組みはこれだけ攻撃を受けているので整っているとは思いますが、流出経路に対するフォレンジック調査、WAFの導入による不正アクセス攻撃へのインテリジェンスな防御など、今の世代に合わせた対策が重要かと思います。今回の報告書には盛り込まれていないので、もしこのまま「セキュリティーの強化」だけで済ますのであれば、利用者としては不安です。

今後の展開を興味深く拝見したいと思います。

 

 

リスト型攻撃が招く Webサイトの危機(日経BP Next ICT選書) 日経コンピュータReport Kindle版