「ID、パスワードの漏洩」事案

「御社の従業員と思われる方のメールアドレスとパスワードが〇〇件、闇サイトで出回っているようです」という通報を受けた情報セキュリティ責任者の方もいらっしゃるのではないかと思う。私自身も、ここ半年で2 つのセキュリティ事業者からこのような情報を受け取った。また、Facebook のID が乗っ取られるなど、ID、パスワード( 以後、PW)が漏洩し、アカウントが乗っ取られる事案は日常茶飯事である。

ID/PW の漏洩の事案にはいくつかのパターンがある。

①Webサイトの脆弱性を利用したID/PW搾取

2017 年3 月に発生したApache Struts 2 の事例は、皆さんの記憶にも新しいと思う。近年、各種展示会、新聞のデジタル版、会員制サービスなど、Web サイトへのID/PW 登録は一般的である。それらのWeb サイトの脆弱性が突かれ、ID/PW が漏洩、流出してしまっている。また、WAF(Web Application Firewall)などのセキュリティ機能の設定ミスにより、SQL インジェクション攻撃に遭って顧客情報が搾取されたケースも報告されている[1]

②フィッシングメールによる情報搾取

この例としては、偽の仮想通貨取引サイトへのフィッシングによる誘導の例[2] や、LINE 運営者を騙ったフィッシングメール(「2 段階パスワード方式の導入をします」「IDとPW の認証情報を入力して下さい」という偽の内容に気付かず、ID/PW を入力してしまった)例などがある。

③メールの添付ファイルを通じたマルウェア感染による情報搾取マルウェア

例えば、情報を盗む安価なマルウェア「FormBook」の事案がある。

④ブラウザに保存したパスワードの搾取

これはブラウザのパスワードマネージャが持つパスワード自動入力機能を悪用した攻撃[3] により、パスワードが盗まれたという事案である。

⑤デフォルト設定や簡単なID/PW設定に起因するIoTデバイスの乗っ取り

読者の皆様にも、過去「123456」「password」「qwerty」「admin」等のパスワードを使ったことのある方がいらっしゃるのではないかと思うが、IoT に関しては問題はさらに深刻である。代表的な事案として、河川監視カメラに侵入されて制御不能になった例[4] や「Mirai」に感染してDDoS攻撃に悪用された例がある。

⑥人為ミス

この典型的な例は、メール送信の際、BCC として送るべきところをTO 設定で送信してしまい、多量のメールアドレスが漏れてしまったケースである。

 

では、その漏洩したID やパスワードはどのように悪用されているのだろうか?

代表例は、ダークウェブや非合法なサイトなど闇サイトを介し、個人情報として販売されているケースである。「日本人の個人情報 2億件、中国の闇サイトで販売」という記事をご覧になられた方もいると思う。また、闇サイトで流通していたと見られる漏洩アカウント情報 22億件以上が標的型攻撃用リストや詐欺メール用等の攻撃目的に応じて編集され、一般サイトで検索可能となっていたという報告もある [5]。攻撃者側にとっては、通販サイトに不正ログインを試みる時、このリストを用いる方が従来の不正ログイン攻撃(例えば、Brute Force攻撃や辞書攻撃)よりも高効率でヒットすることは、容易に想像できる。

なぜID、PWが狙われ、漏洩するのか?

セキュリティ犯罪は、動機(Motivation)、機会( Opportunity)、手段( Measure)の三要素(所謂、 MOM)が揃った時に発生する。特に動機が重要で、例えば、ホワイトハウス元セキュリティアドバイザの Richard Clarke氏はハッキングを行う動機を次の 4つに分類している( CHEW)[6]

Cybercrime(サイバー犯罪)

犯罪者の攻撃は通常、金銭によって動機付けされる

Hacktivism(ハクティビズム)

金銭のためではなく、特定の存在に対する抗議や復讐

Espionage(スパイ活動)

安全保障や経済的利益獲得のため

War(サイバー戦争)

問題解決のための最悪の選択肢

前述で ID/PW情報が闇サイトで流通していることをご紹介したが、 ID/PW情報はマネタイズできるから狙われる。休日やクリスマスにサイバー攻撃が減ることはよく知られている事実であるが、サイバー犯罪も結局は「ビジネス」として成立しているし、需給関係でその情報の価値が決まっている。例えば、金融機関以外のシステムへのログイン情報は $1、一般的な購読サービスへのログイン情報は $1~ $10、SSN(社会保障番号)は $1、運転免許証は $20、クレジットカードは $5~ $110、オンライン決済システム(例えば、PayPal)用のログイン情報は $20~ $200、パスポート情報は $5~ $65、パスポートそのものは約 $3,000~ $5,000等と「相場」 [7]が存在する。攻撃ツールにも価格相場があり、 Zerodiumというサイトにその情報があるのでご興味のある方は見ていただければと思う。ちなみに iPhone OS関連は不動産価格に相当する相場である。

「なぜ漏洩するのか?」については、もちろんシステムに脆弱性があるから漏洩するのであるが、システム、人、組織はそもそも根源的に脆弱性を持つ存在であり、最近ではサイバー被害を受ける要因が、システムから人や組織に移りつつあるとの興味深い見解も示されている [8]

なお、 ID/PW漏洩のリスク検出サービス(4iQ社、VeriClouds社など)やメールアドレスが漏洩していないかチェック、モニタリングする無料サービス [9]も出現している。

#NoPasswordsの世界に向けて

サイバー犯罪(ビジネス)においても「経済モデル」が存在することは前述の通りであり、サイバー犯罪者も成果に見合わない時間とコストをかけてまで情報搾取をしたりすることはまずない。誤ってマルウェアに感染してしまったとしたとしても、ID/PWを守ることが出来ればシステム運用者は次の手を打つことができる。個人としての ID/PWの防御策は、パスワードの使い回しをしない、推測されにくいパスワードを設定する、パスワードの定期的な変更は不要、パスワード管理ツールを導入するなどである。これらは当たり前のようであるが、残念ながらセキュリティの専門家の「当たり前」は、社員にとっては「当たり前でない」ので、地道なセキュリティ意識啓発活動が重要である。

次に、システム提供者としての対策は「サイバー犯罪の経済モデルにおいて、コストを上げる」ことである。個人認証については、多要素認証(特徴の異なる認証 3要素、1. something you know〔「記憶」、 ID, PIN等〕、 2. something you have〔「所持」、IDカード等〕、3. something you are〔「バイオメトリックス」、虹彩、指紋等〕から 2つ以上の組み合わせにより認証する技術)や、パスワードそのものを使わない技術の導入が必要である。個人としてはパスワードを憶える必要がないことは大きなメリットである。例えば、 FIDO(ファイド: Fast IDentity Online)は次世代オンライン認証技術のデファクト標準として期待されている技術である。最近ではスマホが一般化したこともあり、スマホ( something you have)とその指紋認証( Something you are)を組み合わせた FIDO認定の端末も利用可能となっている。また、 #NoPasswordsという、スマホを前提とした多要素認証方式( Trusona社)など、新しい技術に期待する。

<サイバーセキュリティのことなら下記へ>
https://www.ntt-at.co.jp/inquiry/product/