ヤマト運輸に関するセキュリティ事件についての分析

リスト攻撃による不正アクセスの発生

ヤマト運輸は2019年7月にリスト攻撃を受けたことによって3000件超の不正アクセスを受けた可能性があるとの発表を行った。
ヤマト運輸にあった情報は氏名や住所に加えてクレジットカード情報などもあった。不正アクセスのあった疑いがあるユーザーにはパスワード変更を行うような設定を行っている。
クロネコメンバーズにおける不正ログインについて | ヤマト運輸

リスト攻撃とは

パスワードリスト攻撃と言われる攻撃方法ですでに他の事件で流出しているパスワードと ID のリストを流用して攻撃する方法である。重要となるのは流出している情報はヤマト運輸のものではないということである。つまり、他のサイトで ID とパスワードを使い回しているユーザーが被害があることが懸念される。
そのことから、必ずしもヤマト運輸に責任があるわけではなく、使い回しをしているユーザー側にも注意が必要である事件であった。

ヤマト運輸のセキュリティ設計

ヤマト運輸のログイン方法は ID とパスワードによる認証が基本である。
それに加えて、任意で登録済みのメールアドレスに対するワンタイムパスワードによる二段階認証を設定することができる。そのため、 パスワード流出に対しては、比較的強度のあるセキュリティ設計をしていたことは客観的に認めるところである。 もし、あなたがヤマト運輸のユーザー登録をしている場合には、パスワードの見直しに加えて二段階認証の登録を行うことをお勧めする。仮にパスワードリスト攻撃で漏れたとしても、二段階認証の段階でログインを阻止することができるからだ。
ただし、これにも後述する脆弱性があったため、あまり意味は成していないようだった。

ヤマト運輸のセキュリティ設計に関する脆弱性

パスワードの文字数に関する脆弱性

先に申し上げた通り、ログイン方法は ID とパスワードの一般的な方式だ。ただ、パスワードについて文字数制限がありそれが少々脆弱性につながったと筆者は推測している。
ヤマト運輸のパスワードの文字数は6文字以上12文字以下という制限がある。
これはすなわち、パスワードリスト攻撃のうえで、パスワードが6文字以上12文字以下のリストに絞って攻撃すれば良いという考え方ができる。元々のリストの総数は推測しかねるが、そのうちの3万件に絞って攻撃できたというのは攻撃側のリスク回避につながっていただろう。
また、攻撃の総数は3万件以上と推測されており、3万件中の3000件ということから、十件に一件というユーザーがパスワードを使い回しているという推測が立つ。攻撃としては非常に効率的な攻撃だったと言えるだろう。

二段階認証に関する脆弱性

ヤマト運輸の二段階認証はパソコンサイトだけで、スマホサイトからは二段階認証は求められないということが判明した。

つまり、スマホサイト側から攻撃を仕掛ければ仮に二段階認証を設定していたとしても、防御できなかったということである。
残念ながらそれは脆弱性と言わざるを得ない。パソコンからスマホサイトを見ることも当然可能であるし、攻撃の防御策としてはなんら意味をなさないものといわざるを得ないだろう。もっとも、二段階認証にたどり着けるのは流出したパスワードが適合しているユーザーに限る。よって、第一のセキュリティ対策は「パスワードを使いまわさない」ということに尽きる。

今回の事件から見るリスト攻撃の対策

サイト運営側であるヤマト運輸では、いくつかの対策が必要と考えられる。

パスワード文字数制限の上限を増やすこと

パスワード文字数が12文字までというのは、あまり有効とは言えない。 12文字が今の最低ラインとも言っていい状況であれからせめて20文字程度、できれば、32文字程度までを制限としてあげるべきである。

二段階認証のスマホサイトでの適用

せっかくの二段階認証だが抜け穴がある以上、ある意味がない。直ちにスマホサイトも二段階認証を適用するべきである。 その場合において、メールによるワンタイムパスワードに加えて、SMS やワンタイムパスワードアプリの適用なども加えてしかるべきである。
あまり言及したくはないが、使用しているメールアドレスのログインパスワードも同様に使い回しているユーザーがいるかもしれない。二段階認証の本質と言える本人が持つ唯一の媒体から見ることができない状況を条件とするのであれば、メールアドレスの二段階認証では足りないと思う。

ユーザー側の対策

一方でユーザー側も対策が必要である。

パスワードを使いまわさないこと

これは何年も前から言われていることである。そして今回のような攻撃が起こる理由である。パスワードリスト攻撃が実際に行われた実例という面では今回は、反面教師になっただろう。

(ヤマト運輸では)パスワードの文字数を12文字にすること

これは12文字にしなければならないというわけではなく、パスワードは長ければ長いほど良い。しかし、ヤマト運輸ではパスワードの最大数が12文字であることから12時に設定されざるを得ないだろう。
一般的に安全だと言われている文字数は、総当たり攻撃について8文字と言われているが、これも数年前の情報であり今では8文字では決して安全とは言いづらい。今では12文字ぐらいが最低限と言ってもいいだろう。
もっとも、インターネット上のサイトへの総当たり攻撃は決して容易ではない。攻撃先に相応の数の攻撃を仕掛けるわけだから、時間がかかるし、攻撃元が特定されるリスクが高い。また、サイト側も複数回攻撃を失敗した場合に一時的にログインできなくするなどの対策をとっていることが一般的である。なので、インターネット上のサイトでは総当たり攻撃は成功しづらくリスクが高いので、あまり想定しなくていいだろう。
そうは言っても、パスワードが短いことは良いことではないし、絶対に総当たり攻撃されないといえない。少し前の PayPayの攻撃では、複数回ログインを失敗した場合に制限数を設けていなかったという事例がある(なお、今でもそれは解消されている)。 ユーザー側に置いてもパスワードはなるべく長くするのがオススメする。
以上が今回の事件から見るセキュリティに関する対策の筆者の考えである。 ぜひ、ユーザー側においてもセキュリティに関する意識を高めて対策を進めてほしい。

コメント

コメントを投稿

このブログの人気の投稿

リモートワークをLogicoolのマウスとキーボードで複数PC切り替えて優勝した

イメージ
デバイス多すぎるんやが問題 仕事上シンクライアントPCを支給されているのだけれども、当然キーボードとマウスが増えるのでとても面倒くさい。 シンクライアントPCはノートPCなのでノートのキーボード使えやって話でもあるけど、使いにくいでしょ? ということで、自前のをつないでいるんだけれど、メインPCでも調べごとしながらしているとなかなか作業場が厄介になる。 メインで使っているのはMXREGOじゃない 上図のマウス1に当たる部分はLogicoolのMX REGOというトラックボールマウスである 「そういえばこれPC2台接続できるじゃない? ということで、ついでにキーボードも切り替えできるものとしてK375sを購入した Logicool K375s Multi-Device Wireless Keyboard & Stand Combo 構成 問題点 シンクライアントPCにLogicoolのソフト入れられない シンクライアントPCなのでLogicoolのPCにUnifyingソフトウェアを入れることができない。 つまり設定することができない つまり詰んだ? ぴえん🥺 解決法 「聞こえますか…UnifyingはBIOSで認識できるのです...」 アラサーおじさんが泣いていると直接脳内に声が聞こえました。 アメージング! Unifyingレシーバーは直接デバイスとペアリングしているのです! ここらへんの仕様を調べたのですが、Logicoolのホワイトペーパーとかも見当たらないし、今ひとつつかめないんですよね。 同じような無線仕様のBluetoothはアプリケーションレベルで解決してるっぽい?のですが、Unifyingはハードウェアレベルで解決してるようですね。 話はそれましたが、解決法はこうです。 メインPCに2つ目のレシーバーを挿す 通常どおりペアリングする そのレシーバーを外しメインPCには元のレシーバーを挿す シンクラPCに2つ目のレシーバーを挿す これで解決できました。レシーバー上にペアリング情報が残るのですね。なので、こういった他PCでペアリングして指し直して使うという取り回しができるようですね。 リモートワークも一組のキーボードとマウスですむようになった
続きを読む

VBAでのInterfaceやキャスト

前段 個人的に、Excel VBAを仕事で組む機会がある。 自由に組んでいるので、いろいろと設計方法、実装方法を考える。 VBAのインターフェース VBAにはJavaでいうextendsのような継承はない。 Interfaceがあるので、ポリモーフィズムを実現するときは、これを使うのが一つの方法論だ。 ただ、インターフェースは、というか、VBAはクラスのキャストができない。 インターフェイス自体が、そうする性質のものではないのだが、つい欲しくなるときがある。 Object型 さて、話は変わるが、VBAには、Object型というものがある。 平たく言うと、あらゆるクラスに適する型である。あらゆるクラスのスーパークラスと思うと話が早い。 そして、Objcet型からは元のクラスで実装したプロシージャを呼ぶことができる。ObjectによるポリモーフィズムもVBAでは可能、といえる。 なので、ダウンキャストを実現するために、インターフェイスでインスタンスが自己をObjectで出力するためのメソッドを定義してあげることで、スーパークラスからサブクラスへのキャストを実現する。 実装例 Class InterfaceClass '' プロパティ Public porp as String  '' イミディエイトウィンドウに出力する Public Sub printOut() As String End Sub '' 自己をObject型で出力する Public Function Object() As Object End Function Class ImplementClass '' InterfaceClassを実装する Implements InterfaceClass '' スーパークラスのGet,Letのため、 '' 値を保持しておくためのプロパティ Private prop As String '' Getter Public Property Get InterfaceClass_prop() As String InterfaceClass_prop = prop End Property
続きを読む

SUPERHOTがいかにSUPERHOTか語りたい

イメージ
注意 ただの感想の垂れ流しです 全世界が驚愕した待望したゲーム性 SUPER HOT は、今までで3作でている。 SUPER HOT (以下SUPERHOT) SUPER HOT VR(以下VR) SUPER HOT : MIND CONTROL DELETE(以下DELETE) SUPERHOTは2013年にKickStarterでクラウンドファンディングされて、見事成立させできたゲームだ。 このゲーム性は、シンプルかつ非常に魅力的なものだった。 「自分が動いている間だけ時間が進む。自分が動かなければ(ほとんど)すべてが止まる」 映画MATRIXの有名な場面のように 弾丸が止まって見える を体現したゲームだったのだ。 死角から弾丸が発射されても、軌道を見てから紙一重で避けて、反撃する。そんな映画みたいな演出を実体験できる。 ブラウザでできるプロトタイプからそれが実現できていた。 プロトタイプを再生する-SUPERHOT クラウンドファンディングが成功して当然のゲームなのだ。 質実剛健なグラフィック SUPERHOTが発売されたものは、グラフィック自体は特に凝っているわけではなかった。すべて3Dグラフィックだが、ポリゴンチックで2013年当時でもきめ細かいグラフィックとは言えない。 ただ、その表現が非常にゲームとしてシンプルかつ機能美を追求したものだった。 敵は赤色 武器は黒色 ステージなどその他は白色 直感的でゲームを理解できる。そして、敵キャラクターはほとんど同じ造形のポリゴン。ただの記号だ。 ゲームはゲーム。下手な感情移入など不要。そう言わんばかりの作りだ。 先の「映画的な楽しみ方」を100%没頭させるゲームなのだ。 シンプルなゲーム性に高い戦略性 しかし、一言でいうとこのゲーム「死にゲー」である。 ルールハシンプルだが、かなりの高い戦略性を求められる。 1対1で射撃戦を講じるなら余裕だろう。しかし、このゲーム敵がわんさか出て、1対多を必然的に求められる。 360度どこから弾丸が飛んでくるか分からない。故に、全体を見渡しての状況把握が必要となる。 そうやって視点を動かしている間に背後を取られる、などというのもしばしば起こる。 そして、「ゲームオーバー」 さながら、ワンマンアーミーの過酷さ
続きを読む