(画像はヤマト運輸Webサイトより)
皆さんこんにちは。
プライバシーザムライ中康二です。
宅配便大手のヤマト運輸は、顧客向けWebサイト「クロネコメンバーズ」にパスワードリスト攻撃が行われ、約3500人分の個人情報が流出したと発表しました。
流出したのは、クロネコヤマトにメールアドレスを登録した利用者の
クロネコID、メールアドレス、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)
3,467件
とのことです。
なお、不正ログイン試行件数は約3万件であり、「特定のIPアドレスから通信が行われている」「同社に登録していないメールアドレスでのログイン試行がある」などから、同社としては「パスワードリスト攻撃」だと断定したようです。
※パスワードリスト攻撃とは、他のサービスから流出したメールアドレスとパスワードの組み合わせを使ってログインを試行することで、不正アクセスする手法のこと。
同社では、対象となった利用者のIDを停止し、パスワードを変更するよう個別に連絡をしているとのことです。
http://www.kuronekoyamato.co.jp/ytc/info/info_190724.html
(私のコメント)
ここ数年、この手のパスワードリスト攻撃がどんどん増加しています。
今年2月には、ダークウェブで22億件ものメールアドレスとパスワードの組み合わせが公開されているという報道もありました。
https://japan.cnet.com/article/35132120/
ここから入手したメールアドレスとパスワードの組み合わせを一つ一つ著名なサービスに入力していけば、かなりの割合でログインできる可能性があるわけです。実際にそのようにして多くの不正アクセスが発生しています。
今回のヤマト運輸の事例においては、まさにパスワードリスト攻撃の特徴が見られ、同社がいち早くそれを察知したことにより、問題が大きくなる前に対策を講じることができたと言えると思います。
このような事態を受けて、パスワードリスト攻撃対策は事業者側の義務となりつつあると言えると思います。
インターネットが登場して以来、多くのサービスの利用規約の中で、パスワードの管理は利用者の義務とされ、正しいパスワードが入力された場合にはその利用者の情報を表示させるのが事業者側の務めであり、たとえそれが流出したものであったとしても事業者側は関知する義務はないという事になっていました。
しかし、今回のヤマト運輸の事例では、事業者側が利用者にお詫びする形となっています。それは「過失を犯した意識のない利用者の情報が不正アクセスにより多数流出してしまった」からであり、これを「利用者側のパスワード管理ミス」と言い続けることが難しくなってきているということだと思います。
従って、事業者としてパスワードリスト攻撃に対抗する法的義務はないとは言え、今後ますます義務の様になってくると思います。
今回の事件では、パスワードリスト攻撃の特徴がかなり明確になっています。
(1)特定のIPアドレスから通信が行われている
(2)自社に登録していないメールアドレスでのログイン試行がある
(3)同一アカウントに対して何回もログイン試行がない(総当たり攻撃ではない)
(4)パスワード間違いの比率が80%から90%程度である(今回の事例では89%でした)
などの場合には、事業者側でパスワードリスト攻撃の可能性があると判断できます。このような場合には、そのIPアドレスからの通信を停止するなど、被害が広がらない対策を講じることが今後は必要になってくるのではないかと思います。
※もちろん、対策と攻撃の進化はいたちごっこですから、攻撃者側も(1)などはすぐに対抗策を講じてくるとは思いますけどね。
また、何か情報が入りましたら、皆様にシェアいたしますね。