今回はニトリの不正アクセス事件で
使われた可能性のある
リスト型攻撃についてです


解説動画はこちら






事件の概要

日用品大手の「ニトリホールディングス」は
13万件余りの会員アカウントが不正アクセスを受け
登録されている氏名や住所、購入履歴などの
情報が漏えいした恐れがあると判明

ニトリ側は会員に対して
パスワードの再設定を呼びかけている
とのことです



攻撃の手口

ニトリ側が詳しく調べたところ
大量の不正アクセスは
「リスト型攻撃」と呼ばれる
手口によるとみられ何者かが
会員IDとパスワードのリストを
悪用してアクセスを行った
可能性があるとコメントした


リスト型攻撃とは


オンラインサービスへの不正アクセス攻撃の一種

不正ログインのためにIDとパスワードがセットとなった
アカウント情報リストを利用する

従来からある攻撃手法である
「ブルートフォース攻撃」や
「辞書攻撃」と区別するための呼称となる

 なおこのリスト自体は
「他社サービス」からも漏れる可能性がある


ブルートフォースアタック

nitori05

逆(リバース)ブルートフォースアタック

nitori06

リスト型攻撃

nitori07

リスト型攻撃はブルートフォースアタックなどと違い
IDとパスワードのリストを事前に入手して行われる

他社で使われていたIDとパスワードのリストになるが
パスワードなどが使い回されている場合は
すぐに突破されてしまう


対策方法

ユーザーやサービス、双方で対策することが重要です

ユーザー側:
・複数サービスで同じパスワードを使い回さない
・アカウント管理ソフトなどの導入を検討

サービス側:
・IPアドレスや機種のログイン履歴に合わないものの通知
・同一IPや機種からの複数回ログイン試行の監視
・2段階認証の導入




まとめ

「リスト型攻撃」に使われたリストは
他社から漏れたリストが使用された可能性が
高いと思われます

なので複数サービスで
ユーザーID、パスワードの使い回しには
気をつける必要があります


またサービス側には
「リスト型攻撃」への対策が不足していた可能性があり
この辺についてはしっかりとした対応が
求められることになるだろうと思われます

特に二段階認証などを導入すれば
被害は格段に減ると思うので
まだであれば早速検討していただきたい所です


今回は不正アクセス事件の
手口についてお伝えしました

日頃から気をつけておく必要があるものなので
心の片隅にでも置いていただければと

それでは