著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。

 2019年7月下旬の注目ニュースは3件。最初は、ヤマト運輸が受けた不正アクセス被害を取り上げる。

クロネコメンバーズにリスト型攻撃、10%という高い成功率(7月24日)

 ヤマト運輸は、宅配便の発送や再配達を受け付けるWebサイト「クロネコメンバーズ」が不正アクセス被害を受けたと発表した。別のWebサービスから入手したIDとパスワードを使ってアクセスを試みる、リスト型攻撃だとみられる。

不正ログインを公表するヤマト運輸のWebページ
(出所:ヤマト運輸)

 7月22日の夜から24日の朝にかけ、約3万件のログインが試され、3467件の不正ログインを許したとされる。10%近い成功率は、リスト型攻撃によるほかの被害より高い。

 クロネコメンバーズでは、宅配便の送料をプリペイド方式で支払うサービスを提供していた。不正ログインされたユーザーは、登録していた個人情報に加えて、クレジットカード番号の下4桁を盗み見られた可能性がある。ただし発表時点では、漏洩した情報を悪用されたという報告は受けていないとしている。

 同社のセキュリティー対策には、SNSなどで批判の声が複数挙がっている。

 1つは、ユーザーに対してパスワードの定期変更を求めていた点だ。パスワードの定期変更は、1つのパスワードを複数のWebサービスで利用する「使い回し」を助長するといわれている。ユーザーがパスワードを使い回しすると、リスト型攻撃の被害を受けやすくなる。

 もう1つは、2段階認証に抜け道があった点だ。2段階認証は、IDとパスワードの認証に加えて、別の手段による認証も実施して、不正ログインを防ぐ。クロネコメンバーズの2段階認証はユーザーが有効に設定しても、パソコンでアクセスしたときのみ有効で、スマートフォン(スマホ)向けのWebサイトやスマホアプリでは有効にならなかった。この点はクロネコメンバーズのQ&Aページにも書かれていたため、多くの人に知られていた。

http://www.kuronekoyamato.co.jp/ytc/info/info_190724.html

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら