大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (前編)
大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (中編)
大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (後編)

今年3月末ごろから、大手Webサービスを中心に不正アクセスによる攻撃が繰り返し行われた。10万アカウント以上の不正ログインが行われた「goo」を始め、IDとパスワードを突破され、不正アクセスされた例が続いている。

今回の不正アクセス事件は、犯人にまつわる情報はまだ出てきていない。それぞれの事件が同じ犯人か、たまたま重なっただけなのかなど、詳細は全く不明だが、3月末から現在にかけて、いくつかのサービスが被害に遭っている。

例えば3月22日には、一休が運営するホテル予約サイト「一休.com」への攻撃が発表された。実際の発表文にはほとんど情報がないため、被害規模や攻撃日は不明だが、「「他のサイト等での登録パスワード」を取得した第三者が、一休.com の登録に対しても同一情報でログインを試行している事実が判明」とあるほか、実際に不正ログインは行われたようだ。

一休.comの発表文(一部)

3月26日にはカルチュア・コンビニエンス・クラブ(CCC)のポイントサイト「Tサイト」に不正なログインが行われたようだ(発表は4月5日)。不正ログインによるなりすましによって「Tポイント」を悪用されたID数は299。この不正ログイン以前に同社からIDとパスワードが漏えいした形跡は確認できなかったという。

カルチュア・コンビニエンス・クラブによる発表(一部)

4月1~5日にかけては、イーブックイニシアティブジャパンが運営する電子書籍サイト「eBookJapan」に対して不正なログインが行われた(発表は4月5日)。当初は4月5日に720アカウントへの不正ログインの可能性という発表だったが、最終的には1~5日にわたって、779アカウントへの不正アクセスが確認できたという。

イーブックイニシアティブジャパンによる発表(一部)

4月2日には、NTTレゾナントのポータルサイト「goo」において3万アカウントに対する不正ログインが確認された(発表は4月3日)。その後、10万アカウントに不正なアクセスが行われたようだ。

NTTレゾナントによる最終報告(一部)

4月4日には、NTT東日本の会員サイト「フレッツ光メンバーズクラブ」に対し、不正アクセスが行われた(発表は4月4日)。4月9日には、再開直後に再び不正アクセスが行われており、4月4日では30アカウント、4月9~10日にかけて77アカウントが不正にログインされていたという。

NTT東日本による発表(一部)

これら一連の攻撃が、たまたま連続したのか、共通したものがあるのか、現時点で判然としない。CCCや一休を除く3社の発表では、「特定(または複数)のIPアドレスからの不正アクセス試行」が確認されたとしており、共通性は伺える。

さらに、一休.comやeBookJapanに対しては、「他サイトで漏えいしたユーザーIDやパスワードを使用」して不正ログインを試行したことが明らかになっている。Tサイトも「なりすましによる不正ログイン」とされていることから、IDとパスワードのセットを犯人が利用したことが伺える。

こうしたWebサービスに関する攻撃は多数行われている。今年に入ってからでも、TwitterやEvernoteなどの海外の大手サイトを含めて攻撃が行われており、例えばメガネ販売のジェイアイエヌによる「JINSオンラインショップ」に対して、2月6日から3月14日にかけて不正アクセスが行われている。これは「支払い方法選択画面」に入力されたクレジットカード情報が、第3者に送信されるようにサイトが改ざんされていた、というもの。

ジェイアイエヌによる調査報告(一部)

ヤフーのポータルサイト「Yahoo! JAPAN」では、4月2日に管理サーバー内で、Yahoo! JAPAN IDを抽出するプログラムが動作していた。ヤフーの場合、プログラムは動作していたが、外部には送信されていなかったという。さらに5月17日、管理サーバーに外部からの不正アクセスが発生

ヤフーによる発表(一部)

最大で2,200万件のユーザーIDを抽出したファイルが流出した可能性があると報告されたが、その後の5月23日には「不可逆暗号化されたパスワード」および「パスワードを忘れてしまった場合の再設定に必要な情報の一部」も流出した可能性もあるという追加情報も公開された

JINSにの件は、ほかのサイトとは攻撃の内容が異なっており、関連性は薄そうだ。さらに、Yahoo! JAPANについては現在も調査中で詳細が出てくるのはこれからだろう。リアラスのポイントサイト「予想ネット」でも3月3日に不正アクセスによるデータ改ざんとポイント交換の被害が発生しているようだが、こちらも同様に詳細情報が公開されていないので、関連性は分からない。

いずれにしても、こうした不正アクセスによる攻撃には、いくつかの手法があり、パスワードを1文字ずつひたすら試行していく「総当たり攻撃(ブルートフォースアタック)」や「辞書攻撃」、簡単なパスワードをひたすら試す攻撃などがある。

今回の攻撃の一部では、そうした不正アクセスの攻撃手法として、IDとパスワードのセットを使う、という手法が使われていたようだ。次回は、その攻撃手法やサイト側の対策について考えてみたい。

大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (前編)
大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (中編)
大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (後編)