treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

クロネコメンバーズで不正ログインのインシデント

利用中のサービスでインシデントが発生の模様。
これは困った、しっかりと利用中のサービスです…、状況を確認してみたのでご報告します。

インシデントが発生したサービス

対象となったのはクロネコメンバーズ、ヤマト運輸が提供してくれている宅急便の利用全般を便利にしてくれるサービスです。

f:id:treedown:20190726170902p:plain
荷物のやり取りが多い人にとっては非常に利便性の高いサービスを提供してくれて、しかも基本的な利用料金は無償で提供してもらえるという、ありがたいサービス。

しかし、このサービスにセキュリティインシデントが発生したと言うニュースを見て不安になりました。

発生したインシデントは

詳しくはヤマト運輸が発表している

クロネコメンバーズにおける不正ログインについて | ヤマト運輸

こちら。
ネットニュースでもちょこちょこ見掛けますが、やはり公式からの発表から見るのは基本です。

これによると、
攻撃手法は「パスワードリスト攻撃」
特定のIPアドレスを発信元として不正なログインの試行が大量(3万件と発表)に実行されたため、緊急的にそのIPアドレスからのログインを遮断した模様。
サイトによれば「不正ログイン件数:3,467件」と記載があるので、約1割強のパスワードリスト攻撃が成功した、と見て取れます。
遮断するまでの間に実行されたログイン試行で不正ログインに成功した分だけ登録済の個人情報が収集された可能性がある、ということのようです。

フーム。

パスワードリスト攻撃?

今回の攻撃は「パスワードリスト攻撃」です。クロネコメンバーズのシステム自体に特別脆弱性が存在していたと言うわけではなさげ。(WAFを導入する、などのできることはあったかもしれないとはいえ)

このパスワードリスト攻撃って、悪意の第三者が何かしら手段を講じて入手したID(だいたいはメールアドレス)とパスワードのリストを利用して、狙いを付けたWebサービス(サイト)にアクセスを試行し、不正に入手した利用者の正規アカウントによってログインに成功するという攻撃手法です。
つまり別の漏洩事故で出回ってしまったメールアドレスとパスワードの組み合わせを使い回ししている人が今回の被害に遭った可能性が高い、と考えることができそうです。

別名をアカウントリスト攻撃とも言い、「力ずくで」と表現されるブルートフォース攻撃よりも効率良くかつ正規ログイン情報を利用してスマートに情報を搾取する手法と言えます。
この辺の対比はトレンドマイクロの解説がわかりやすい。

https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/threat-solution/access.html

それほど落ち度はない?

これらの情報から考えると、クロネコメンバーズ側ではそれほどの落ち度はなかったように思えます。情報漏洩したといってもID(メールアドレス)とパスワードを使い回ししていた(別サービスで既に漏洩していたID=メールアドレスとパスワードの組み合わせがそのまま使われていた)ユーザの個人情報が漏洩した、ということのようです。
実際、メールアドレスとパスワードの両方をこれ専用に使っていた一ユーザのところにはプレスリリースにあった「個別の連絡」は来ていません。
クロネコメンバーズ個別に用意したというメールアドレスは、

blog.treedown.net

これにある、「gmailでの「+」付きアドレスを1企業1アドレスで生成して登録するようにしておく」という方法で用意したクロネコメンバーズだけしか使ってないメールアドレスをIDにしていますし、パスワードもそれ用に設定しています。

最終防衛ライン=2段階認証

さらに言うと、2段階認証です。
私のIDはこれを設定していたというのも安心感に繋がったのは事実です。

クロネコメンバーズのログインには2段階認証の設定が可能なので、これを設定しておく、というのは安全に使いたいユーザにはぜひともおすすめしたいところですね。

FAQ:2段階認証とはなんですか。
https://c-faq.kuronekoyamato.co.jp/app/answers/detail/a_id/134/c/20

実際、パスワードリスト攻撃でも2段階認証に使うトークンの情報までどうにかできる可能性は低いと考えられるので、漏洩したID・パスワードのユーザであっても、2段階認証を設定していたユーザは被害に遭わなかったのではないかなぁ…、と(勝手に考えているだけですが)思います。

2019-07-31追記:
2段階認証を設定してもスマートフォンユーザはその認証をパスする、という問題もあったようです。ですが、今回のインシデントでは2段階認証を設定していたアカウントについては被害がゼロだった、という記述もあり、やはり2段階認証でアカウントが守られていたことが見て取れます。
https://nlab.itmedia.co.jp/nl/articles/1907/29/news123.html
詳しくは↑こちら

これから利用するサービスって2段階認証の有無が非常に大きな選択基準になりそうですね。2段階認証ができないサービスって、不安が先立ちます。