情報セキュリティマネジメント試験 令和元年秋(2019)午後 ①ECサイトへの不正ログイン

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. どんな名前の攻撃がされましたか?どんな特徴がありましたか?
  2. 利用者は、どんな事に注意が必要ですか?
  3. 不正ログインに対するロックした場合の問題は?対策の考え方は?
  4. 問合せフォームで、本人であるかの確認方法と検討事項は?
  5. 攻撃を検知するための監視すべき事柄は?



はじめに、架空の会社 J 社の説明

J 社は、従業員数 90 名の生活雑貨販売会社であり、店舗と EC サイトで生活雑貨を販売している。
J サイトでの販売は 5 年前に開始され、現在は J 社の売上の 7 割を占めている。Jサイトに登録されたアカウント数は、現在 100 万を超えている。

Jサイトの顧客は、幅広い年齢層にわたることから、EC サイトに不慣れな顧客でも容易に利用できるように、顧客からの問合せのへの対応に力を入れている。
問合せは、 J サイトの問合せフォームと電話で受け付けている。J サイトに投稿された問合せは、カスタマサポート部に電子メールで送信される。問合せには、通常、1 日以内で対応している。

J サイトの情報セキュリティ対策

J サイトは、インターネットから通信を監視・制御するためにファイアーウォール、IPS、WAF を導入しいる。

J サイトには、管理者が、OS、ミドルウェア及びアプリケーションの運用管理、並びにサイト運営を行う際にもちいる管理用と、顧客がサイトで商品を購入する際に用いるアカウントです。管理者用アカウントでのログインには 2 要素認証を実装し、パスワード及び携帯用トークンを使った時刻同期式ワンタイムパスワードを採用している。又、顧客用アカウントは次のようになっている。

  • 利用者 ID とパスワードを採用
  • パスワードは 8 文字以上で英数字混在が必要
  • 顧客が登録している情報を確認または変更する際は、認証情報の再入力が必要
  • 新規にアカウントを登録する際に、既に使われている利用者 ID を指定すると、他の人が既に使用している旨を画面に表示
  • 問合せへの投稿は、利用者認証は不要

情報セキュリティインシデント発生

2018 年 11 月 7 日、偽ブランド品の販売サイトと思われるサイトに誘導するメッセージが書かれていた問合せが数万件投稿された。
情報システム部に J サイトの調査を依頼したところ、誘導メッセージ以外にも、不正アクセスと思われるログイン試行があり、既に調査を開始されていた。
この一連の情報で、臨時の情報セキュリティ委員会が開催され、情報セキュリティインシデントが宣言された。

不正ログインが成功した顧客用アカウントについて更に詳細に調査したところ、購入していないものが届いていたとか、購入していないのに請求が来たといった被害はなかった。
顧客への影響は、顧客用アカウントの認証情報を攻撃者に知られてしまったことだけである。ことが確認できたので、顧客への連絡とパスワードのリセットを実施した。

情報セキュリティ委員会で、今回のインシデントについて調査結果が報告された。

調査結果

攻撃 1:2018 年 11 月 5 日 3:00~4:00 に海外のある IP アドレスから、不正ログインの試みと思われる攻撃が 980 件、顧客用アカウントに対して 1 件ずつあり、その全てが J サイトに実在する顧客アカウントに対するものであった。 980 件の不正ログインの試みのうち 90 件が成功していた。

攻撃 2:Jサイトの新規登録へのアカウントのログを確認したところ、攻撃 1 と同一の IP アドレスから合計 10 万件のアカウント登録が 2018 年 10 月から試みられており、攻撃 1 の不正ログインで利用された。 980 件が登録済みのアカウントとしてエラーとなっていた。

攻撃 3:2018 年 11 月 1日に、国内の複数の IP アドレスからそれぞれ一つの顧客用アカウントへのログイン試行が IP アドレスごとに平均 1000 件程度記録され、全てログインが失敗となっていた。

攻撃 4:2018 年 11 月 6 日に、誘導メッセージが書かれた問合せを 5 万件投稿するという攻撃があった。誘導メッセージは、攻撃 1、 攻撃 2 とは別の海外のある IP アドレスから投稿されいた。
1 件目と 2 件目は問合せフォームを閲覧してから問合せが投稿されていたが、3 件目以降は閲覧せずに問合せが投稿されていた。

上記攻撃についての対策を検討するようにした。

攻撃 1 への対応

J サイトから漏洩した顧客用アカウントの認証情報が利用されたとは考えられない。もし、漏洩したのなら、ログインが全て成功しているはずです。しかし、9 割は失敗しています。

攻撃者は、最近よく聞く、認証情報のリストを入手して利用するというパスワードリスト攻撃が使われたと考えます。

この攻撃は、攻撃対象のサイトの顧客が、複数オンラインサービスで ID とパスワードを使い回している場合に攻撃者に成功されやすいといわれています。

上記の対策には複数ありますが、利用者本人かどうかを確認するための利用者認証に加えて、ログインごとにメールで通知される認証キーによる利用者認証を導入する方法が一般的だと考えます。この方法は、多数の EC サイトでも利用されています。

ただ、対策には、顧客がメールアドレスを変更した際に J サイトにログインできなくなるという特有の課題もありますが、多くの実績があるので問題ないでしょう。

このような攻撃が成功しないように、又、被害に遭わないように顧客側でも、各サイトで、それぞれのパスワードを違うものに設定する。という事が必要です。

攻撃 2 への対応

アクセスログを確認したところ、アカウント新規登録画面を使って、他のサイトで取得したと思われるリストを使って、リストの中の利用者 ID が存在するかどうかの確認を行ったと思います。

攻撃 3 への対応

EC サイトで要求しているパスワードの強度が低い場合には、攻撃者に成功されやすい。と考え、ログイン連続失敗回数の上限を超えたアカウントをロックするという対策を提案した。
対策としてはいいが、顧客に影響が出ないように指示をした。

J サイトの顧客は、幅広い年齢層にわたるので、顧客が何回もパスワードを間違えて J サイトにログイン出来なくなり、カスタマサポート部に問合せが増える可能性があります。

問合せは、なるべく増えないよう、顧客の連続ログイン失敗回数をログインログから算出し、その値に基づいて連続ログイン失敗回数の上限を全顧客で一つ決定し、その値を設定する。

攻撃 4 への対応

多量の投稿が成功してしまった原因は、問合せを投稿する際にボットかどうかを判別する仕組みがないことである。

問合せフォームは既存の顧客以外からも広く意見を集める重要な手段なので、だれでも投稿できるようにする必要がある。

それで、ボットか本人かどうかを確認する代わりに問合せフォームの入力後に CAPTCHA への対応を求めるようにする。このとき、利用者によっては、ボットと認識されて問合せ投稿ができないという問題が起こらにように実装には十分注意が必要です。

攻撃 1 から攻撃 4 までの対応に対して、まだ防ぐことができないこともあり得るので、追加の対策として下記の監視対策も検討することになった。

追加の対策の検討

下記の値を監視し、単位時間当たり一定数以上となった場合、情報セキュリティ責任者にメールで通知するようにした。

攻撃 1:複数の顧客アカウントについて同一の IP アドレスから試行したログイン数
攻撃 2:(省略)
攻撃 3:同一の顧客用アカウントについて失敗した回数
攻撃 4:同一 IP アドレスからの問合せフォームへのアクセス数



関連用語

パスワードリスト攻撃
あるWEBサイトから流出した利用者IDとパスワードのリストを用いて他のWEBサイトに対してログインを試行する攻撃
利用者は、パスワード管理がわずらしく同じIDと同じパスワードを使いまわす傾向がある。このことでいろんなサイトで被害を発生しやすい。

パスワードの作成には
数字 0 から 9 の 10 種類、A から Z の 26 種類、小文字も使えば 52 種類、記号を 18 種類で80 種類、パスワードの桁数を 8 桁使用すると 80×80×80×80×80×80×80×80= 約 1.677 兆通りの組合せになる。よって8文字以上の英数記号を含めたパスワードをサイト別に変えて登録すると安全になる。

2要素認証とは
現在、インターネット上では、ID とパスワードの組合わせによる認証が一般的に使われています。ただ、この方法では ID とパスワードが漏えいすると、第三者が簡単に正当なユーザーになりすますことができてしまいます。しかし 2 要素認証を使うと ID とパスワード以外で本人だけが知っている知識、あるいは IC カードやスマートフォンなど本人だけが持っている物、そして指紋や顔、虹彩といった本人の身体的特徴により、それぞれ知識認証、所有物認証、生体認証などと組み合わせることにより、もし、ID とパスワードが漏えいしたとしても、本人だけの生体認証があれば、なりすましを防ぐことが可能になります。

総当たり攻撃(ブルートフォースアタック)とは
特定の ID に対してパスワードとして使用可能なすべての文字列を組み合わせてログインを試む方法です。単純な原理で実施も容易であり、時間さえかければ確実に認証の突破が可能となる強力な攻撃手法です。

逆総当たり攻撃(リバースブルートフォースアタックとは)
通常のブルートフォース攻撃では、特定の ID に対してすべてのパスワードを試行するのに対し、リバースブルートフォース攻撃では特定の一つのパスワードに対して複数の ID でログインを試みます。

アカウントロックとは
ログインを必要とするサイトで、一定回数続けてログインに失敗した場合に、一時的にログイン不能にする仕組みのこと。

ボットからの攻撃とは
ボットがパソコンに侵入したら、そのパソコンは、外部から遠隔操作されるゾンビ PC や、ゾンビマシンと呼びます。ボットネットの司令塔となるのをサーバーを C&C サーバーと言います。
この司令塔 C&C サーバーの命令で数十万台以上のゾンビ PC がスパムメールの大量送信や DDos 攻撃、広告詐欺、仮想通貨の採掘などを一斉に行います。

ショルダーハックとは
人がパスワードや暗証番号など秘密の情報を機器に入力する様子を盗み見て情報を不正に入手すること。

フィッシングとは
偽の金融機関の WEB サイトを作成し、暗証番号やクレジットカード番号などを詐取する詐欺。

キーロガーを仕込む
ソフトウェアの開発時に作業内容記録し、問題発生時などの時、ログ解析行うというデバッグに便利なツールです。USB デバイス型のキーロガーは、Amazon などでも販売されています。これを悪用したものです。

IPS
ネットワークの異常を検知し管理者に通知する。従来の NIDS が備えている検知・通知機能に加えて、不正アクセスの遮断などの防御機能をもつシステムです。

WAF
パケットの IP アドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、ウェブアプリケーションに対するこれらの攻撃を検知し、遮断する。



学習の確認

  1. どんな名前の攻撃がされましたか?どんな特徴がありましたか?
  2. 利用者は、どんな事に注意が必要ですか?
  3. 不正ログインに対するロックした場合の問題は?対策の考え方は?
  4. 問合せフォームで、本人であるかの確認方法と検討事項は?
  5. 攻撃を検知するための監視すべき事柄は?