2013-08-18
パスワードリスト攻撃の2013年4月〜8月の状況についてまとめてみた。
インシデントまとめ | |
パスワードの使いまわしを狙った不正アクセスについて最近見かける機会が増えたこともあり、自分の中で整理したくまとめました。対策については既に多くの記事で述べられているためここではとりあげません。
まずは読んでおきたいBlog、記事
このテーマ、また関連するパスワードについて先行研究・調査されている方の記事が既に沢山あるのでまずはこちらをメモ。
- 辻さんによるリスト型攻撃に関する考察
- 徳丸さんのパスワードへの攻撃に関する考察
- 根岸さんのここ最近発生した不正ログイン事件のまとめ
- 他パスワードリスト攻撃に関係する記事、発表
攻撃の呼び方は色々
パスワードの使いまわしをしているユーザーを狙うため、インターネット上で公開されている情報を拾い集めたり、ブラックマーケットで買取することで入手したアカウントリスト(ID、パスワードの一覧)を使い、対象にログインが可能かを試行する攻撃については、呼び方が複数あります。以下は検索した結果から調べた内容ですので間違っていたらご指摘ください。
呼び方(1) パスワードリスト攻撃
「パスワードリスト攻撃」はIPAが2012年7月の届け出状況の報告で使い始めた言葉です。セキュリティの専門家やセキュリティベンダ(例えばSST)もこの言葉が使われているシーンを見かけます。この記事でもIPAにならってパスワードリスト攻撃という名称で記載していますが、IDとパスワードがセットで使われる攻撃にも関らずパスワードのみのリストのような「パスワードリスト」と表現されるのは今一腑に落ちないところでもあります。もしかすると「パスワードを使いまわしている人をリストアップした攻撃」の略なのかも知れません。:)
呼び方(2) 不正ログイン攻撃
「不正ログイン攻撃」は警察庁が2012年3月に公開した資料「(PDF)連続自動入力プログラムによる不正ログイン攻撃の観測結果について」で使用した言葉です。最近は主要メディアでもこの攻撃を「不正ログイン」と記載しているようです。*1この資料はインターネット上でサービスを提供する企業13社に対して攻撃の有無についてヒアリングした結果をまとめたものです。
呼び方(3) リスト型アカウントハッキング
「リスト型アカウントハッキング」(または「リスト型パスワードクラッキング」)は検索するとわかりますが、出所は不明ながらもオンラインゲームサービスを提供する事業者の注意喚起やゲームユーザーのBlogで見かけることが多いです。
オンラインゲーム業界のアカウントはのっとることで当該アカウントが所有する貴重な装備品、ゲーム内通貨を奪取し、RMT市場で取引することで簡単に換金することが可能であり、その換金性の高さから2006年からオンラインゲームに対する不正アクセスの被害が増加し、2010年頃には「リスト型アカウントハッキング」の存在についても語られています。 2010年11月に発生したサミーの「777town.net」への不正アクセス後には、真偽不明ながら同じID、パスワードを使用しているユーザーが被害を報告している事例もあり、オンラインゲームサービスの事業者も注意喚起をしています。
例えば次のような注意喚起や被害報告があります。
| 日付 | パスワードリスト攻撃を受けた企業 | 注意喚起・被害報告 |
| 2010/11/16 | ガンホー | 【重要】アカウントハッキングにご注意ください。(魚拓) |
| 2010/11/16 | USERJOY JAPAN | 【重要】アカウントハッキングについて(魚拓) |
| 2012/08/15 | セガ | SEGA ID管理ページへの対応について(魚拓) |
| 2012/10/04 | スクウェアエニックス | 【重要】 「リスト型アカウントハッキング」への対策について(魚拓) |
| 2012/10/12 | ガンホー | 【重要】一部のお客様のガンホーIDパスワードの強制変更措置について(魚拓) |
| 2012/10/12 | NCSOFT | 【重要】アカウント保護に関するお知らせ(魚拓) |
| 2013/01/12 | バンダイナムコ | ログイン時にエラーが発生された方に対するご注意(魚拓) |
パスワードリスト攻撃の状況まとめ
2013年4月以降の各社の被害状況
2013年4月以降にパスワードリスト攻撃を受けた可能性があるとして被害状況を発表している企業は次の19社です。
| No | 対象 | 不正アクセス期間 | ログイン成功件数 | 不正アクセス回数 | 成功率 | 個人情報閲覧 | 金銭被害 | 公式発表 |
|---|---|---|---|---|---|---|---|---|
| 1 | Tサイト (カルチュアコンビニエンスクラブ) | 3/26 | 299 | − | − | − | 有り (Tポイントギフト) | *2 |
| 7/15 | 27 | − | − | − | 有り (Yahoo IDと連携しEdyにチャージ) | *3 | ||
| 2 | MyJR-EAST (東日本旅客鉄道) | 3/31 | 97 | 約26,000 | 0.373% | 有り | − | *4 |
| 3 | goo (NTTレゾナント) | 4/1〜4/9 | 108,716 | − | − | 無し | 無し | *5 *6 *7 |
| 4 | eBookJapan (イーブックイニシアティブジャパン) | 4/2〜4/5 | 779 | 2,821 | 27.614% | 有り | 無し | *8 |
| 5 | フレッツ光メンバーズクラブ (東日本電信電話) | 4/4 | 30 | 約20,000 | 0.150% | 有り | 無し | *9 |
| 4/9〜4/10 | 77 | 約24,000 | 0.321% | − | 無し | *10 | ||
| 6 | mopita (エムティーアイ) | 4/18〜4/19 | 5,450 | − | − | 有り | 無し | *11 |
| 7 | dinos (ディノスセシール) | 5/4〜5/8 | 約15,000 | 約1,110,000 | 1.351% | 無し | 無し | *12 *13 |
| 8 | ワタシプラス (資生堂) | 5/6〜5/12 | 682 | 約240,000 | 0.284% | − | 無し | *14 |
| 9 | 三越オンラインショッピング (三越伊勢丹HD) | 5/6〜5/23 | 8,289 | 5,202,002 | 0.159% | 有り | − | *15 |
| 10 | 阪急オンラインショッピング (エイチツーオーリテイリング) | 不明〜5/13 | 2,382 | − | − | 有り | − | *16 |
| 11 | ハピネットオンライン (ハピネット) | 4/24〜5/31 | 最大16,808 | − | − | 有り | − | *17 *18 |
| 12 | じゃらんnet (リクルートライフスタイル) | 2/14〜2/16 6/3〜6/15 | 27,620 | 約1,100,000*19 | 2.511% | 有り | 無し | *20 |
| 13 | ニッセンオンラインショッピングサイト (ニッセン) | 6/18 | 126 | 11,031 | 1.142% | − | 無し | *21 |
| 14 | クラブニンテンドー (任天堂) | 6/9〜7/4 | 23,926 | 15,457,485 | 0.155% | 有り | 無し | *22 |
| 15 | KONAMI ID (コナミデジタルエンタテインメント) | 6/13〜7/7 | 35,252 | 3,945,927 | 0.893% | 有り | 無し | *23 |
| 16 | 楽天市場 (楽天) | 不明〜7/8 | − | − | − | − | 有り | *24 |
| 17 | @nifty (ニフティ) | 7/14〜7/16 | 21,184 | − | − | 有り | 無し | *25 *26 |
| 18 | Gree (グリー) | 7/25〜8/5 | 39,590 | 7,748,633*27 | 0.511% | 有り | 無し | *28 *29 *30 |
| 19 | Ameba (サイバーエージェント) | 4/6〜8/3 | 243,266 | 特定日において通常の何倍ものログインエラー | − | 有り | 無し | *31 *32 *33 |
付随情報
付随情報として各サービスの次の情報を調べてみました。表中ログインに関係する箇所で「−」と記載しているのはpiyokangoがサービスを使ってみて確認出来なかったものであり、機能が実装されているかいなかを保障するものではありません。またいずれもパスワードリスト攻撃を各社が受けた後に調査したものです。調査以前と以後で実装が変わっているケースもあります。例えば三越オンラインショッピングは「名前」項目がログインに必要な項目として事後に追加されたようです。
| No | 対象 | 会員数 | ログインID | パスワード | 認証連携 | 多要素・多段認証 | 連続ログイン失敗時ロック | ログイン履歴 |
|---|---|---|---|---|---|---|---|---|
| 1 | Tサイト | − | Tカード番号 またはメールアドレス | 半角英数字 6〜32文字 | Yahoo! Japan ID | − | − | − |
| 2 | MyJR-EAST | 約350万人*34 | 任意設定 半角英数記号 4〜100文字 | 半角英数混在 6〜12文字 | − | − | 有り | − |
| 3 | goo | 約1800万人*35 | 任意設定 半角英数小記号(”-”、”_”のみ) 1〜30文字 | 半角英数記号 8〜32文字 | NTT ID | − | 有り | 有り |
| 4 | eBookJapan | 約77万人*36 | メールアドレス | 半角英数字 4〜20文字 | − | − | 有り | − |
| 5 | フレッツ光メンバーズクラブ | 約404万人*37 | お客様ID(COP/CAF+半角大文字) または日中連絡先電話番号 または任意指定(詳細確認出来ず) | 半角英数字 8〜10文字 | − | − | 有り | − |
| 6 | mopita | 約800万人*38 | 任意設定 半角英数字記号(-,_,.) 6〜30文字 | 半角英数記号(-,_,.) 4〜40文字 | docomo ID 楽天 au ID Softbank YAMADA Yahoo! Japan | CAPTCHA | − | 有り |
| 7 | dinos | − | メールアドレス | 半角英数字 6〜16文字 | − | − | − | − |
| 8 | ワタシプラス | 約75万人*39 | メールアドレス | 半角英大小数字 6〜12文字 英数字それぞれ一字以上必要 | − | − | 有り | − |
| 9 | 三越オンラインショッピング | 約73万人*40 | 任意設定 半角英数字 6〜16文字 | 半角英数混在 8〜16文字 | − | 名前 | 有り | − |
| 10 | 阪急オンラインショッピング | − | 任意設定 半角英数字 4〜16文字 | 半角英数混在 8〜16文字 | − | − | − | − |
| 11 | ハピネットオンライン | − | メールアドレス | 半角英数字 6〜16文字 | − | − | − | − |
| 12 | じゃらんnet | 約900万人*41 | メールアドレス | 半角英数字 6〜20文字 | − | − | 有り | − |
| 13 | ニッセンオンラインショッピングサイト | 約1287万人*42 | メールアドレス またはニッセンID(数字10桁) | 半角英数字 5〜8文字 | Twitter Mixi | 姓名 | − | − |
| 14 | クラブニンテンドー | 約400万人*43 | 任意設定 半角英大小数字 6〜12文字 | 半角英数混在 8〜12文字 | − | − | 有り | − |
| 15 | KONAMI ID ポータル | − | 任意設定 半角英小数字記号(.,-,_) 8〜32文字 | 半角英数混在 8〜32文字 | − | ワンタイムパスワード(有料) | − | − |
| 16 | 楽天市場 | 約8357万人*44 | メールアドレス または任意設定 半角英数字 6文字〜100文字 | 半角英数字 6〜128文字 | − | − | 有り | 有り |
| 17 | @nifty | − | 任意設定 半角英数記号(-,_,.) 2〜32文字 1文字目は英字 特定の組み合わせ使用不可 | 半角英数記号 6〜24文字 | − | − | 有り | 有り |
| 18 | Gree | 3500万人以上*45 | 携帯メールアドレス | 半角英数字 6〜20文字 | − | − | 有り | − |
| 19 | Ameba | 約2954万人*46 | 任意設定 半角英数字記号(-) 3〜24文字 | 半角英数字 6〜12文字 | − | − | − | − |
各社を並べてみる
被害件数別
被害件数別に並べると次の通りです。
| 順位 | 対象 | ログイン成功件数 |
|---|---|---|
| 1位 | Ameba | 243,266 |
| 2位 | goo | 108,716 |
| 3位 | Gree | 39,590 |
| 4位 | KONAMI ID | 35,252 |
| 5位 | じゃらんnet | 27,620 |
| 6位 | クラブニンテンドー | 23,926 |
| 7位 | @nifty | 21,184 |
| 8位 | ハピネットオンライン | 16,808 |
| 9位 | dinos | 約15,000 |
| 10位 | 三越オンラインショッピング | 8,289 |
| 11位 | mopita | 5,450 |
| 12位 | 阪急オンラインショッピング | 2,382 |
| 13位 | eBookJapan | 779 |
| 14位 | ワタシプラス | 682 |
| 15位 | Tサイト | 299 |
| 16位 | ニッセンオンラインショッピングサイト | 126 |
| 17位 | MyJR-EAST | 97 |
| 18位 | フレッツ光メンバーズクラブ(2回目) | 77 |
| 19位 | フレッツ光メンバーズクラブ(1回目) | 30 |
| 20位 | Tサイト | 27 |
| − | 楽天市場 | 非公開 |
TOP3のように元々の会員数が多いところが狙われてしまうとやはり相応の被害規模になる傾向にあります。
被害発覚に要した日数別
パスワードリスト攻撃を受けてから被害に気づく(確認する)までにかかった日数別に並べると次の通りとなります。
| 順位 | 対象 | 攻撃を受けてから 被害発覚までの日数 |
|---|---|---|
| 1位 | じゃらんnet(1回目) | 172日 |
| 2位 | Ameba | 124日 |
| 3位 | じゃらんnet(2回目) | 63日 |
| 4位 | ハピネットオンライン | 37日 |
| 5位 | KONAMI ID | 25日 |
| 6位 | クラブニンテンドー | 23日 |
| 7位 | 三越オンラインショッピング | 17日 |
| 8位 | MyJR-EAST | 16日 |
| 9位 | Gree | 12日 |
| 10位 | ワタシプラス | 11日 |
| 11位 | dinos | 4日 |
| 12位 | eBookJapan | 3日 |
| 13位 | @nifty | 2日 |
| 14位 | goo mopita Tサイト ニッセンオンラインショッピングサイト | 1日 |
| 15位 | フレッツ光メンバーズクラブ (1回目、2回目) | 当日 |
| − | 楽天市場 阪急オンラインショッピング | 非公開 |
一部例外(gooやMyJR-EAST)はありながらも、攻撃を受けてから発覚するのが遅れると被害規模が大きくなる傾向にあるようです。
成功率別
パスワードリスト攻撃によるログインの成功率順にすると次の通りとなります。この11社の平均は「0.714%」でした。
| 順位 | 対象 | 成功率 |
|---|---|---|
| 1位 | じゃらんnet | 2.511% |
| 2位 | dinos | 1.351% |
| 3位 | ニッセンオンラインショッピングサイト | 1.142% |
| 4位 | KONAMI ID | 0.893% |
| 5位 | Gree | 0.511% |
| 6位 | MyJR-EAST | 0.373% |
| 7位 | フレッツ光メンバーズクラブ (2回目) | 0.321% |
| 8位 | ワタシプラス | 0.284% |
| 9位 | 三越オンラインショッピング | 0.159% |
| 10位 | クラブニンテンドー | 0.155% |
| 11位 | フレッツ光メンバーズクラブ (1回目) | 0.150% |
TOP3はいずれもログインIDがメールアドレス、パスワードも半角英数字でした。
尚、eBookJapanはこのリストから外しています。同社の不正アクセスの成功率は27%と異常な高さですが、これは同社が実際に不正アクセスを受けた件数を報告にあたりフィルタリングしている可能性が考えられます。不正アクセス件数は2,821件ですが、これは同社が報告している「ログイン成立分」、「ログイン失敗分」から算出した数字であってプレスにもこれが不正アクセスの全件であるといった記載はありませんでした。またサーバーの過負荷から発覚したにも関わらずこの件数は4日間に行われたにしては少ないように思えます。
パスワードリスト攻撃を受けたことに気づいたきっかけ
パスワードリスト攻撃を受けたかどうかに気づくことが出来たきっかけを調べてみました。大きく分けると次の通りです。
| No | 対象 | きっかけ |
|---|---|---|
| 1 | Tサイト | ユーザーから見覚えのない利用履歴があるとの問い合わせを受けて |
| 2 | MyJR-EAST | パスワードリスト攻撃の騒ぎを受けて自社も調べてみたことから |
| 3 | goo | 大量のログインエラーが発生したことから |
| 4 | eBookJapan | アクセス先のサーバーが高負荷となったことから |
| 5 | フレッツ光メンバーズクラブ | 大量のログインエラーが発生したことから |
| 6 | mopita | パスワードリスト攻撃を受けたログを確認したことから |
| 7 | dinos | 大量のログインエラーが発生したことから |
| 8 | ワタシプラス | パスワードリスト攻撃を受けたログを確認したことから |
| 9 | 三越オンラインショッピング | 大量のログインエラーが発生したことから |
| 10 | 阪急オンラインショッピング | 大量のログインエラーが発生したことから |
| 11 | ハピネットオンライン | 大量のログインエラーが発生したことから |
| 12 | じゃらんnet | ユーザーからログインできないとの問い合わせを受けて |
| 13 | ニッセンオンラインショッピングサイト | パスワードリスト攻撃を受けたログを確認したから |
| 14 | クラブニンテンドー | 大量のログインエラーが発生したことから |
| 15 | KONAMI ID | 大量のログインエラーが発生したことから |
| 16 | 楽天市場 | ユーザーから見覚えのない利用履歴があるとの問い合わせを受けて |
| 17 | @nifty | パスワードリスト攻撃を受けたログを確認したから |
| 18 | Gree | 大量のログインエラーが発生したことから |
| 19 | Ameba | 臨時でのログチェックより発覚したから |
ログインエラーが大量に出ていたから気づいたとしている事業者が多いです。また金銭的な被害が発生しているケースではユーザーからの問い合わせを受けてから発覚しています。異常検知される水準の大量のログイン試行やユーザーが気づく程度の金銭的被害が発生しない場合、Amebaのように臨時でのログチェックでもしない限りパスワードリスト攻撃を受けた事実に気づくのは厳しいですね。
時系列まとめ
各社の発表を元に時系列に整理しました。
ポータルサイトやゲーム関係、ショッピングサイトへ行われた始めたタイミングがそれぞれ近しいように見えます。また、たまたまかもしれませんが、大量のアクセスを試行するパスワードリスト攻撃の後に金銭的被害が発生するパスワードリスト攻撃が発生しているようにも見えます。真相は果たして。
更新履歴
*1:2013年2月4日の読売の記事「リスト型アカウントハッキング1日10万件の攻撃も…使い回しID盗み悪用」では「リスト型アカウントハッキング」という名称が使われています。
*2:(PDF)T サイトへの不正ログインによるなりすまし被害について,カルチュアコンビニエンスクラブ,2013/08/17アクセス
*3:(PDF)T ポイント不正利用についてのお知らせとお願い,カルチュアコンビニエンスクラブ,2013/08/17アクセス
*4:(PDF)My JR-EAST での不正ログイン発生とご利用のパスワード変更のお願い,東日本旅客鉄道,2013/08/17アクセス
*5:gooIDアカウント不正ログイン被害について,NTTレゾナント,2013/08/18アクセス:魚拓
*6:gooIDアカウント不正ログイン被害について(続報),NTTレゾナント,2013/08/18アクセス:魚拓
*7:gooIDへの不正ログイン被害について(終報),NTTレゾナント,2013/08/18アクセス:魚拓
*8:不正アクセスによる「なりすまし」ログインついての調査結果ご報告 (最終報告),イーブックイニシアティブジャパン,2013/08/18アクセス:魚拓
*9:フレッツ光メンバーズクラブ会員サイトへの不正アクセスについて,東日本電信電話,2013/08/18アクセス:魚拓
*10:不正アクセスへの対応等について,東日本電信電話,2013/08/18アクセス:魚拓
*11:弊社サービスへの不正ログイン被害のご報告,エムティーアイ,2013/08/18アクセス:魚拓
*12:(PDF)【重要】セキュリティ強化のためのパスワード変更のお願い,ディノス,2013/08/18アクセス
*13:(PDF)【重要】弊社運営のオンラインショッピングサイトへの不正ログイン被害について ※セキュリティ強化のためのパスワード変更のお願い(第二報),ディノス,2013/08/18アクセス
*14:ワタシプラスにおける不正ログイン被害について,資生堂,2013/08/18アクセス:魚拓
*15:(PDF)三越オンラインショップ・不正アクセスについて,三越伊勢丹HD,2013/08/18アクセス
*16:(PDF)阪急・阪神百貨店オンラインショッピング、不正アクセスについて,エイチツーオーリテイリング,2013/08/18アクセス
*17:オンラインショップへの不正アクセスについて,ハピネット,2013/08/18アクセス:魚拓
*18:オンラインショップへの不正アクセスについて(経過報告),ハピネット,2013/08/18アクセス:魚拓
*19:「じゃらんnet」で不正ログイン 情報流出か,日本経済新聞,2013/08/18アクセス:魚拓
*20:じゃらんnetへの「なりすましログイン」検知のご報告とパスワード変更のお願い,リクルートライフスタイル,2013/08/18アクセス:魚拓
*21:(PDF)【重要】ニッセンオンラインショッピングサイトへの不正ログイン状況、及びお客様へのお願いについて,ニッセン,2013/08/18アクセス
*22:「クラブニンテンドー」サイトへの不正ログイン発生のご報告とパスワード変更のお願い,任天堂,2013/08/18アクセス:魚拓
*23:「KONAMI IDポータルサイト」への不正ログイン発生のご報告とパスワード変更のお願い,コナミデジタルエンタテインメント,2013/08/18アクセス:魚拓
*24:他社サイトから流出したID・パスワードを使った不正ログインの発生およびパスワード変更のお願いについて,楽天,2013/08/18アクセス:魚拓
*25:不正なログインの発生について,ニフティ,2013/08/18アクセス:魚拓
*26:お客様情報一覧の不正なログインの発生について,ニフティ,2013/08/18アクセス:魚拓
*27:不正ログイン:GREEに約775万件のサイバー攻撃 不正閲覧約4万件,毎日新聞,2013/08/19アクセス:魚拓
*28:「GREE」への不正ログインに関するご報告,グリー,2013/08/18アクセス:魚拓
*29:不正ログイン発生のご報告とアカウントの一時停止について(第2報),グリー,2013/08/18アクセス:魚拓
*30:不正ログイン発生のご報告とアカウントの一時停止について(第3報)-不正ログイン発生に関するご利用再開について-,グリー,2013/08/18アクセス:魚拓
*31:【重要】Amebaへの不正ログインに関するご報告 ※追記あり,サイバーエージェント,2013/08/18アクセス:魚拓
*32:【不正ログインについて】アメーバID状況確認のお願い ※追記あり,サイバーエージェント,2013/08/18アクセス:魚拓
*33:【不正ログインについて】追加ご報告,サイバーエージェント,2013/08/18アクセス:魚拓
*34:JR東サイトに不正アクセス,大分合同新聞社,2013/08/17アクセス:魚拓
*35:「gooID」に不正ログイン攻撃、10万アカウントが突破される,InternetWatch,2013/08/17アクセス:魚拓
*36:eBookJapan、電子書籍版マンガ全集とASUSの7型タブレットをセット販売開始,InternetWatch,2013/08/18アクセス:魚拓
*37:フレッツ光会員サイトで再び不正ログイン被害、全404万アカウントを凍結,InternetWatch,2013/08/18アクセス:魚拓
*38:スマホ向け認証・決済サービス「mopita」、5450アカウント不正ログイン被害,InternetWatch,2013/08/18アクセス:魚拓
*39:資生堂/ネット会員75万人超/ウェブ連動で店頭売上10%増,日本ネット経済新聞,2013/08/18アクセス:魚拓
*40:三越サイトで不正アクセス 8300人分の情報流出も,MSN産経,2013/08/18アクセス:魚拓
*41:東日本大震災に係る鳥取県の観光対策について,鳥取県,2013/08/18アクセス:魚拓
*42:(PDF)2012年12月期決算発表会,ニッセンHD,2013/08/18アクセス
*43:任天堂の会員制サイトに不正アクセス 1545万回,日本経済新聞,2013/08/18アクセス:魚拓
*44:2013年度第1四半期決算説明会,楽天,2013/08/18アクセス
*45:グリーポータルより
*46:Ameba最新データ,サイバーエージェント,2013/08/18アクセス
- omoLog - パスワードリスト攻撃の2013年4月〜8月の状況についてまと...
- Twitter / @keiwatan
- Twitter / @lainzero
- Twitter / @nilnil26
- Twitter / @takeru0
- Twitter / @lixu5797
- Twitter / @shimabukuro
- Twitter / @daisuke
- Twitter / @mikage
- Twitter / @ShinHANAHiro
- Twitter / @shinyanomura
- Twitter / @ht00
- Twitter / @takataakira
- Twitter / @tsukasa12r
- Twitter / @GMT0100
- Twitter / @jyukumonty
- Twitter / @merio_h
- takataakira LIFE LOG - 2013年08月19日のツイート