3月末から4月上旬にかけて連続して発生した、Yahoo! JAPANやgooなどの大手ポータルサイトをはじめとするWebサイトやWebサービスに対する不正アクセスについて、ユーザーIDやパスワードのセットを使った攻撃が行われたケースががあると疑われている。

こうしたWebサイトに対する攻撃について、シマンテックのセールスエンジニアリング本部ソリューションアーキテクトの米澤一樹氏とノートン事業部リージョナルプロダクトマーケティング シニアマネージャの吉田一貫氏に聞いた。

大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (前編)
大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (中編)
大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (後編)

IDとパスワードのセットが漏えい

今回の不正アクセスでは、イーブックイニシアティブジャパンが公開した事件の詳細が参考になる。これによれば、eBookJapanの779アカウントに対し、特定のIPアドレスから不正ログインが行われたが、この不正ログインでは、「正しいIDとパスワードの組み合わせ」が使われていた可能性が高い。

イーブックイニシアティブジャパンによる発表(一部)

通常の不正ログインで使われる総当たり攻撃などでは、1つのIDに対して大量のパスワードを試行するのだが、今回の攻撃では、1つのIDに対して1回目のパスワード入力でログインが成功した例が386 IDもあった。2回目のパスワード試行では347 IDと、少ない試行回数で成功率が高いことが特徴だ。

さらに、1回目のパスワード試行で失敗したIDは1327あったが、2回目に失敗したIDは72と急減しており、1回目に失敗したIDは試行を諦めていることが伺えた。いずれにしても、総当たり攻撃で1回目のパスワード試行が成功する確率は低いため、「IDとパスワードのセットが攻撃に使われた可能性が極めて高い」と米澤氏も強調する。

IDとパスワードのセットが使われたのは、「使い回しを想定したのだろう」と米澤氏。

シマンテック セールスエンジニアリング本部 ソリューションアーキテクト 米澤一樹氏

前回の通り、この時期にYahoo! JAPANの管理サーバーにIDを盗むプログラムがしかけられていたが、Yahoo! IDは、そのまま「@yahoo.co.jp」を加えればメールアドレスになる。メールアドレスをIDとして利用するサービスも多く、IDとパスワードのセットとして利用しやすい。

この時のヤフーの事例では攻撃は成功しなかった(5月には攻撃が成功している)ようだが、さまざまなサービスで収集されたIDとパスワードが集められ、今回の事件にも使われていたのだろう。収集した犯人と、実際に不正アクセスを行った犯人が同一とは限らず、ブラックマーケットでIDとパスワードのセットが販売されている可能性も高い。

米澤氏によれば、氏名などの個人情報よりも、IDとパスワードのセットの方が高額に取引されているという。過去の事件では、盗んだ個人情報102人分の売買では、3台のiPadとの交換という程度の金額にしかならなかったそうで、IDとパスワードのセットの方がそれよりも高い金額になるようだ。

米澤氏は、攻撃に狙われやすいサービスとして、大手のWebサービス以外に、「特定の人達を対象にした商材を扱うサイト」に注意を促す。例えばアウトドアブランドのサイトが不正アクセスによる攻撃を受けたこともあった。

こうしたサイトは、規模は小さくても安定的に利用者がおり、また、商材の単価が比較的高価であることも多いために大きな金額が動くが、大手サイトほどセキュリティ対策が行き届いていない場合があるからだという。

サービス側は定期的な検査を

こうした攻撃が行われた場合、サービス側にはどんな対策があるだろうか。米澤氏は、外部への検査を委託して実施することを推奨する。「特に新しいサービスを追加したときは検査した方がいい」と米澤氏。

シマンテック ノートン事業部 リージョナル プロダクト マーケティング シニアマネージャ 吉田一貫氏

これは、サービス追加によって新しい不具合や脆弱性が発生してしまう可能性があるからだ。サービスを追加しなくても、新たな脆弱性が発見されたり、新しい攻撃手法が出てきたりもする。もちろん、もともと入り込んでしまった脆弱性などの問題も、検査を行うことで発見できる可能性が高まる。

こうした検査を行うことに加えて、保存されたユーザーデータなどの情報が、物理的に持ち出されないかなど、運用上の問題点がないかも検査する必要がある。社内サーバーでサービスを運用する場合は特に注意が必要だ。

今回はIDとパスワードのセットが使われた可能性が高いが、総当たり攻撃や辞書攻撃を防ぐには、一定回数以上パスワードを間違えるとアカウントをロックする仕組みや、同一IPアドレスからのログイン制限といった対策もあり得る。そして、ユーザーが長いパスワード(必然的に強度が高くなる)を設定できるように最大文字数を大幅に拡大することも重要だ。

また、保存したパスワードは、ソルト化やハッシュ化などの難読化の方法を適用して保存しておけば、仮に攻撃によって漏えいしても、攻撃者側がパスワードを解読することが困難になる。

IDとパスワードを預かるに当たって、特に攻撃者にとって「お金になりやすい」ショッピングサイトなどは、こうした対策を行っておく必要があるだろう。

では、ユーザー側にはどのような対策があるだろうか。次回も引き続き、専門家にユーザー側でできる防御策を聞く。

大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (前編)
大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (中編)
大手Webサイトに相次ぐ不正アクセス、個人ユーザーの対策法は? (後編)