今年2月には、はてなへのリスト型と見られる攻撃によって個人情報の閲覧、変更に加え、はてなポイントがAmazonギフト券に交換された可能性があるという。6月にも同様の攻撃が発生し、この時もAmazonギフト券への交換行為が3件行われたが、これは未然に防がれたそうだ。
2月にはほかに、日本航空(JAL)のJALマイレージバンクのサイトに不正ログインがあり、マイルをAmazonギフトカードに交換されるという被害が発生している。被害件数や額は明らかではないが、JALの場合はパスワードが数字6ケタしか選べないという脆弱なサイトであり、リスト型攻撃というよりは総当たりでの攻撃が疑われている。
|
JALでもパスワード変更が推奨された |
昨今の攻撃ではこうした「ポイント」や「ギフトカード」が狙われる例が増えているようだ。もちろん、従来どおりクレジットカードのような信用情報や個人情報を狙ったと見られる攻撃もあり、5月にはH.I.SなどのWebサイトが改ざんされ、閲覧者のPCがマルウェアに感染。さらに銀行のオンラインバンキングにアクセスすると、暗証番号やパスワードが盗まれ、口座の現金が引き出されてしまう、といった危険性があった。こうした攻撃に加えて、恐らくは「より手軽な攻撃」として悪用されているのがリスト型攻撃だ。
簡単にポイントをギフトカードに換金できるサービスが標的となったことで、銀行やクレジットカードといった金融機関以外のサイトも攻撃にさらされている。4月に起きたソフトバンクモバイルのMy SoftBankに対する攻撃でもポイントの不正利用が判明しているほか、被害はなかったもののAmebaやmixi、LINEといった、サービス内でポイントを換金できるようなサービスが狙われている印象がある。
リスト型攻撃は、Webサービス側が防御策を講じて、保管するパスワードを暗号化するといった工夫をしていても、ユーザー側がフィッシング詐欺に引っかかって漏えいしたり、適切なセキュリティのないサービスから漏えいしたり、必ずしも個別のサービスだけで防御できるものではなく、対応が難しい。
