サンドラッグのECサイトでリスト型攻撃による不正ログイン

株式会社サンドラッグは2022年7月11日、ECサイト「サンドラッグ e-shop 本店」やクーポンなどを配信する「サンドラッグお客様サイト」が海外のIPアドレスからの不正ログインを受け、個人情報やクレジットカード情報の一部など計1万9057件が流出した可能性があることを発表しました。

7月11日10時30分にシステム委託会社からの報告により発覚。7月9日から7月11日にかけて海外のIPアドレスから攻撃を受け、氏名、住所、電話番号、メールアドレス、生年月日、購入履歴、クレジットカード情報（カード番号頭6桁と下2桁）の情報が閲覧された可能性が7月12日時点で判明しています。

不正ログインの手法は、他社サービスから漏えいした可能性のあるユーザーID・パスワードを利用した「リスト型アカウントハッキング（リスト型攻撃）」の手法で行われた可能性があると説明しています。

7月11日に発覚後、不正ログインの被害を受けた可能性がある顧客には、同日中に個別にメールで連絡をし、パスワードの変更などを案内しています。また、不正ログイン元の海外のIPアドレスは遮断するとともに、第三者機関を踏まえたセキュリティ対策などシステム上の対策も実行しており、再発を防止する考えも明かしています。

■ 「リスト型攻撃」の脅威からアカウントや個人情報を保護するにはどうすれば良いのでしょうか？

「リスト型攻撃」がどのようなものかを整理し、具体的な対策方法を解説します。

・リスト型攻撃とは
リスト型攻撃というのは、アカウント（ID）とパスワードが記載されたリストをもとにオンラインサービスへの不正アクセスを試みるサイバー攻撃です。「リスト型アカウントハッキング」や「アカウントリスト攻撃」、「パスワードリスト攻撃」と呼ばれる場合もあります。

オンラインサービスは基本的にアカウントとパスワードの組み合わせによる認証のものが多くあります。サービスへログインするために2つの情報を入力するのは、サービスを利用している本人であるかどうかを確認するためのものですが、この2つの情報が悪意ある第三者の手に渡ってしまうとどうでしょうか？簡単に不正アクセスを許してしまいます。この攻撃は他の不正アクセスと異なり、正規のログイン方法を試みる手法であるため、プログラムによる検出が難しい点が特徴となります。

リスト型攻撃を受けるのは企業が提供するサービスなどですが、実際に被害を受けるのはユーザーの個人情報などです。

・リスト型攻撃の原因とは
リスト型攻撃が発生する最大の原因として、「ユーザーがパスワードを複数のサイトで使いまわすこと」があげられます。

インターネット環境が整備され、スマートフォンが普及している時代になり、様々なオンラインサービスを利用することが多くなりました。ネットの無料フリーメールサービスや、スマートフォンのアプリケーションなど、ほとんどの方が複数のオンラインサービスを利用していると思います。

そして、そのオンラインサービスごとにアカウントとパスワードを作成して利用しているわけですが、複数のオンラインサービスで共通のアカウントとパスワードを複数のサイトで使い回すケースが目立ちます。これは利用者側の利便性という点では普通のことかもしれませんが、セキュリティの観点では非常に危険なことになります。

なぜなら、1つのオンラインサービスからアカウントとパスワードが漏えいした時、他のオンラインサービスで不正アクセスにつながってしまう可能性があるからです。

リスト型攻撃は、何らかの方法により悪意ある第三者が「サイトA」のオンラインサービスから入手したアカウントとパスワードをもとに、「サイトB」のオンラインサービスで不正アクセスを試みるサイバー攻撃です。そのため、オンラインサービスを利用する数が多いほどアカウント情報が不正に入手されたり、リスト型攻撃によって不正アクセスされるリスクが高まります。

・リスト型攻撃されるとどうなるか？

リスト型攻撃が成功すると、該当アカウントを乗っ取り、本人になりかわって様々な行動が可能になります。当然、被害は乗っ取られたアカウント種別や与えられた権限に依存します。代表的な被害は以下の通りです。

　・SNSアカウントの不正使用・不正投稿など
　・オンラインゲーム内のアイテムの不正流出
　・個人情報の流出や改ざん・削除
　・ECサイト内でのポイント不正使用

・リスト型攻撃を防ぐ基本的な対策
リスト型攻撃をシンプルで簡単に対策方法があります。それは、「オンラインサービスごとに異なる、複雑なパスワードを設定する」ことです。

オンラインサービスを利用する際、アカウントにメールアドレスを利用することも多く、サービスごとに複数のアドレスを取得するのは管理が複雑になり、同じアカウントを使用するケースはどうしてもあると思います。パスワードは同じパスワードを使い回しするのではなく、オンラインサービスごとに異なる複雑なパスワードを設定するようにしましょう。

パスワードのルールを複雑にする以外にも、オンラインサービスが対応しているかにもよりますが、画像認証や2段階認証を導入しているオンラインサービスがあれば、導入することでセキュリティレベルが上がります。

■ リスト型攻撃被害事例

リスト型攻撃による被害の事例は、日本を代表するサービスでも発生しています。セキュリティ対策に十分な費用をかけられる大手企業のサービスでも、リスト型攻撃を受けると防ぐのが難しいことが、これらの事例からも分かります。

事例１.「ユニクロ・GU」顧客情報461,091件が流出
2019年4月から5月にかけて、「ユニクロ」「GU」のオンラインストアでパスワードリスト攻撃による不正アクセスで461,091万件分の個人情報が流出しました。

「リスト型アカウントハッキング（リスト型攻撃）」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて
https://www.fastretailing.com/jp/group/news/1905132000.html

事例２.株式会社セブン＆アイ・ホールディングス「7pay」不正利用で多額の被害、サービス終了
2019年7月「7pay」のサービス開始直後に、不正アクセスによる不正利用が発生しサービスを停止しました。その後再開に向けた動きが取られましたが、翌月にサービス廃止を決定しました。

「7pay（セブンペイ）」サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について
https://www.7andi.com/company/news/release/201908011500.html

今回おこったサンドラッグのリスト型攻撃による不正ログインでの、被害は現時点では確認されていませんが、リスト攻撃による不正アクセスに成功した場合、犯人が好ターゲットと認識して、標的型攻撃へ移行する可能性も否定できません。パスワードは使いまわしせず、オンラインサービスごとに異なる、複雑なパスワードを設定することをおすすめします。