JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。
今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。
4回目は、DMM.comラボシステム本部 セキュリティ部 マネージャー 青木 一郎氏による寄稿です。
【特集】STOP!パスワード使い回し!
ヤフー、楽天らネット企業10社が語る"リスク"と"対策"
DMM.comとしてキャンペーンに賛同
2014年9月、IPA(独立行政法人情報処理推進機構)とJPCERT/CCより、「STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ」のキャンペーンが行われました。
ここのところ、アカウントリスト攻撃による不正ログインの被害が後を経ちません。DMM.comでは、「インターネットを介して時代に合わせた柔軟なサービスの展開」をモットーとしています。お客様に安心・安全にサービスを利用していただくためにも、パスワードを使い回すリスクの啓蒙するこのキャンペーンに賛同しております。
このキャンペーンでDMM.comは、お客様にパスワードを使い回すリスクを認識していただくために、特設ページを設置しログインフォームにバナーを配置しました。
特設ページでは、パスワードを使い回すリスクやそのメカニズム、対処方法としてDMM.comサイトでパスワード変更方法などを提示いたしました。
DMM.comの取り組みとして、どのような対策を行っているかと、被害を未然に防ぐ対策、最小限度に抑える対策を簡単にご紹介させていただきます。まずは、DMM.comの取り組みに入る前にアカウントリスト攻撃がどのようなものかのおさらいと、攻撃の変遷から、お客様と攻撃者との見分けが困難になっている現状をお伝えします。
変わりつつある攻撃手法
アカウントリスト攻撃は、攻撃者が不正に入手したID/パスワードの一覧(アカウントリスト)を用いて、DMM.comのようなWebサイトに対してログイン試行する攻撃です。この攻撃では、「Webサイト」という点がミソです。
これが、お役所における住民票の取得といった対面のサービスであれば、攻撃者がなりすまして「田中です」「佐藤です」と名前を変えて住民票の取得を繰り返していれば、さすがに気づくことでしょう。
しかし、Webにおける非対面型という環境では、アカウントリスト攻撃は最適な手立てと言えるのです。アカウントリスト攻撃の攻撃者の目的は、「Webサイトで有効なアカウントの転売」や「他人になりすまして、個人情報や金品を窃取」「より精度の高いアカウントリストの作成」などが想定されます。
また、アカウントリスト攻撃の傾向は近年変わりつつあります。例えば、攻撃元のサーバーが「攻撃者が用意した数台のサーバー」から、「マルウェア感染などで踏み台にされた多数の"他人"のサーバー」へと遷移しています。
また、攻撃元についても、かつては日本国外のレンタルしやすいサーバーが使われていましたが、近年はマルウェア感染によって"踏み台"のサーバーを増やしているため、国外ではなく、日本国内のサーバーが悪用されているケースが増えています。
このことから、攻撃者は単独犯ではなく組織的であり、アカウントリストを用意する担当、攻撃する環境を用意する担当など役割分担されていることが想定されます。
アカウントリスト攻撃は、サービス停止を目的とするようなDoS攻撃やDDoS攻撃と異なり、ネットワークレイヤで単独で動作しているIDS/IPS、WAF(Web Application Firewall)だけでは防ぐことが困難です。
安全なインターネットを
DMM.comではアプリケーションレイヤでID/パスワードを用いた認証の"ふるまい"に着目し、明らかに普段と異なる傾向があった場合に、自動的な対処を行っています。
また、これに合わせ、24時間365日稼働しているカスタマーサポートへ警告をすることで、怪しい振る舞いに関しては目視による対処も行っています。
具体的な対処方法としては、不正でなりすましてログインされた疑いがあるアカウントの「ログインセッションの破棄」と「パスワードの無効化」を行っているのです。
インターネットは、正規の一般利用者はもとより、攻撃者も分け隔てなくアクセスできます。アカウントリスト攻撃は巧妙化し、攻撃と対策のイタチごっこが続いています。
DMM.comでは今後も、アカウントリスト攻撃をはじめとする様々な不正アクセス対策強化に努めますが、サービス利用者のみなさんも「パスワードの使い回しは危険である」ということを理解していただき「パスワードは使い回さないように設定を工夫する」、「サイトで登録してあるメールをチェックする」、「ログイン履歴をチェックする」習慣を身につけてください。
みなさんが、安全にネットを利用していただける環境が、更なるインターネットサービスの発展に繋がることと期待しています。
著者プロフィール青木 一郎(Aoki Ichiro) - DMM.comラボシステム本部 セキュリティ部 マネージャー
WebアプリケーションエンジニアとしてDMMサービスのスタートアップ、決済システム、会員情報システムの開発・保守を経て、セキュリティ部の設立に関わる。 セキュリティ部ではDMMサイトのWebアプリケーションの脆弱診断、開発者へのセキュリティ教育などセキュリティを推進する活動と、DMMサイトへの不正アクセス分析・対策を行っている。 DMM.CSIRTの連絡窓口(PoC)として、NCAや各社CSIRTとの連携にも力を入れる。