先日、サービス廃止となった「7pay」は、その原因となった不正アクセスの攻撃方法を「リスト型攻撃」だと発表しました。実は、2019年7月には、7pay以外にも不正アクセスが発生しており、それらもこのリスト型によるものだったということです。
この立て続けに起こった事件により、セキュリティに詳しくない人でも、そういうサイバー攻撃があるという認知が広まったのではないでしょうか。
このリスト型攻撃は「パスワードリスト攻撃」とも呼ばれており、どこかのサービスから漏洩したパスワードのリストを使用して不正アクセスを行うというものです。
今回は、7pay以外に発生した不正アクセス事件について紹介します。

「クロネコメンバーズ」へのリスト型攻撃

ヤマト運輸が運営するクロネコメンバーズのWebサイトにおいて、2019年7月23日にリスト型攻撃による不正アクセスが行われたという報告が、翌24日に同社より発表がありました。
>ヤマト運輸「お知らせ(7/24):クロネコメンバーズにおける不正ログインについて」

私も実はメンバーになっているので不安を感じ、すぐにお知らせを見て驚きました。
なんと不正ログインの試行回数の約3万件に対して、11%もの3,467件が不正ログインを許してしまったということです。
リスト型攻撃に使われたパスワードリストがどこから流出したものかは分かりませんが、これだけの高確率で認証が突破できてしまうということは、それだけパスワードを使いまわしている人が多い、ということとを表しており、大いに問題だと感じました。

なおクロネコメンバーズには二段階認証が設定できるようになっていて、不正ログインを許した3,467件については、全て二段階認証の設定をしてないユーザーであったことが発表されています。パスワードの使い回しがなくならない限り、やはり単純な固定パスワードでの認証ではダメだ、ということです。

しかし、このクロネコメンバーズの二段階認証設定ですが、PCからのアクセス時にはちゃんと機能しているものの、なんとスマホからのアクセスだと二段階認証が機能していなかった、ということも判明しました。この件について、ヤマト運輸の対策の不徹底が物議をかもしだしているようです。

「コーナンPay」へのリスト型攻撃

同じく7月23日に、ホームセンターを展開するコーナン商事のプリペイド型電子マネーサービス「コーナンPay」に対してリスト型攻撃があり、一部で不正ログインを許してしまう事態が発生し、コーナンPayのサービスを一時休止にしたという発表がありました。

>コーナン商事「(7/24)コーナンPayサービス一時停止に関するお知らせ」

まだ具体的な不正ログインの状況や、不正利用に関する具体的な報告はありませんが、このコーナンPayも、7payと同様に二段階認証に対応していない決済サービスであったため狙われたと推測されます。またコーナンPayの場合、決済用のバーコードがワンタイムバーコードではなく、カード会員番号毎に固定のものを使用していたため、このバーコードのスクリーンショットを使えば他のスマホからでも不正決済できてしまうなど、アプリの設計にも問題があったことが判明しています。

このようにポイントで決済を行うアプリが、セキュリティ対策が不十分なままにリリースされてしまうことは大きな問題です。事業者は認証セキュリティについての見識を深め、十分な対策を行うことが絶対に必要です。

ユーザー側でも、登録しようとしているサービスが、二段階認証に対応していればきちんと設定し、対応していなかった場合は他のサービスでは使っていないパスワードで登録するようにしましょう。
この記事を読んでいる方は、すでに「PassClip」を導入されている方が多いかとは思います。まだの方は、パスワード管理アプリを導入して、すでに登録してあるサービスのパスワードを個別のものに変更していきましょう。
今は金銭的被害に遭っても事業者が補償してくれていますが、補償しないケースも出てくるかもしれません。また、奪われた個人情報で、別の事件を引き起こすかもしれません・・・。