フジ・メディア・ホールディングス子会社で通販大手ディノス・セシールが新たな手法によるサイバー攻撃の被害に遭った。同社は2018年6月2日にWebサイト「セシールオンラインショップ」が不正アクセスを受け、4日後の6月6日に顧客情報が流出した可能性があったと公表した。
手口は「リスト攻撃(リスト型アカウントハッキング)」の一種だ。リスト攻撃とは、サイバー攻撃や闇取引など何らかの手段で入手した、攻撃対象のWebサイトのユーザーIDとパスワードの一覧(リスト、パスワードリストとも)を使って、機械的にログイン試行を繰り返し、不正ログインを試みるものだ。ログインできたら個人情報を盗んだり、ポイントを金品に換えたりする。
今回、ディノス・セシールを襲ったのは、より巧妙さを増した「新型リスト攻撃」と言えるものだった。結果的に不正ログインが成功したのは490人にとどまったものの、セキュリティ関係者には波紋が広がっている。
「このタイプのリスト攻撃の可能性は指摘されていたが、公になった事象は珍しい。今後脅威が増す可能性が高く、Webサイト管理者は注意が必要だ」。セキュリティコンサルティングを手がけるS&Jの三輪信雄社長はこう注意喚起する。
中国のIPアドレスからログイン試行
事の経緯はこうだ。不正アクセスが発生したのは6月2日の午前10時19分から午後5時59分。最初の数分間に中国の同一IPアドレスから不特定多数のメールアドレスとパスワードを使ったログインの試行が繰り返された。
ディノス・セシールはこれを自動検知し、当該IPアドレスからのアクセスを遮断した。だが、中国の別の複数IPアドレスからログイン試行が繰り返されたため、アクセス遮断対象を広げたところ、午後5時59分に不正アクセスが収まった。
集計すると中国の201個のIPアドレスから合計1938人分のログイン試行があった。うち490人は不正ログインが成功。不正ログインされたアカウントについては、ログイン直後の画面に表示される氏名と所有ポイント数が第三者に閲覧された。別画面で表示する住所や電話番号、クレジットカード番号などが閲覧された形跡はなかった。
既存顧客リストと100パーセント一致
ここまでなら2014年ごろから猛威を振るう典型的なリスト攻撃の手口で、珍しさはない。リスト攻撃は大量のIDとパスワードの組み合わせで片っ端からログイン試行するため、攻撃対象のWebサイトに未登録のIDも大量にある。だがディノス・セシールの場合、ログイン試行された1938件の全てが既存顧客だった。何らかの形でセシールの顧客リストが攻撃者に流出していると示唆される状況だった。