【レポート】未知の攻撃を受け、すぐに情報公開を決断したイーブックイニシアティブジャパン-根底にあるのは、"ユーザーへの思い"

[2016/03/18 08:00]タマク ブックマーク ブックマーク

原因究明の”鍵”は、トランザクションログの分析

結論から言えば、これはいわゆる「アカウントリスト型攻撃」だった。ご存知のとおり、2014年初頭から国内で猛威を振るい、広く認知されるようになった攻撃手法だ。

しかし、事件当時はまだアカウントリスト型攻撃についての情報があまり流通しておらず、村上氏をはじめとするITスタッフもこの攻撃手法の存在を知らなかったのだという。だが、村上氏らが不正アクセスの原因を突き止めるまで時間はかからなかった。

村上聡氏

「ほかでも同じような攻撃を受けているところがないかを調べているうちに、ある販売サイトでなりすましログインの多発を警告する記事を見つけました。それで『これをやられたのかな』と思い、ログイン履歴を調査することにしたんです」(村上氏)

入念な調査の結果、「不正の疑われる複数のIPアドレスからログインページに対し、あらかじめ持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明した。つまり、攻撃者は同社以外のサービスなどから、そのログインIDとパスワードを不正に入手し、ユーザーが同じログインIDとパスワードを使い回している可能性を狙って同社のサービスに対して膨大な回数の不正ログインを試みたというわけだ。

村上氏がこのような判断に至った根拠は、1つのログインIDについて試行されているパスワード数の少なさだった。WebアプリケーションのトランザクションログとIPアドレスを突き合わせて分析したところ、注目すべき事実が判明したのだ。

まず、ログイン成功分のログでは、1つのログインIDについてパスワードを試行した回数は最大5回までであり、1回しか試行していないのに成功したアカウントが半数近くを占めていた。一方、ログイン失敗分のログからは、1つのログインIDについてパスワードを試行した回数は最大9回までであり、1回だけで断念しているアカウントが9割を占めていたのだという。

「攻撃者が複数のIDについて、正しいパスワードとの組み合わせを知っているとしか考えられない結果でした」(村上氏)

この調査内容に関しても、2013年4月9日公開のリリースで、具体的な数値を報告しながら詳細に報告がなされている。

そして7月23日には、不正ログインに関する最終報告として、これまで発表してきた情報のまとめと合わせ、クレジットカード情報漏洩事故の調査を行う第三者機関に依頼した調査の結果、「サーバへの不正侵入および情報漏洩の懸念を示す形跡はなかった」ことが正式に報告された。

ユーザーの反応と、社内に起きた変化

気になるユーザーの反応だが、被害発表の直後は一部で感情的な反応もあったという。だが、丁寧に状況を説明していくうちに原因がユーザー側のアカウントの使い回しにあることが伝わり、ほとんど問題は生じなかった。

また同社は、ログインID/パスワードの使い回しの危険性をメールや販売サイトで呼びかけ続けている。今回の件で、自身のパスワード管理に対する意識が高まったユーザーが増えたのは間違いないだろう。

同社内でも、事件以降、危機管理の意識がさらに向上した。電子書籍販売サイト「eBookJapan」では、年2回の脆弱性試験を実施するようにしており、最低1回は手動による試験を行っている。

村上聡氏

「手動テストの依頼先も、なるべく頻繁に変えることでマンネリ化しないよう気をつけています。新しい脅威が現れたとしても、攻撃に気づいた時点でできる限りの対策を講じ、わかっている情報を速やかに公開することの重要性を痛感しました」──最後の村上氏の言葉が、情報セキュリティを担当するすべての人々に届くことに期待したい。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

【レポート】事後にこそ問われる、企業の真価-セキュリティ BIG 5が選ぶ セキュリティ事故対応アワード

【レポート】事後にこそ問われる、企業の真価-セキュリティ BIG 5が選ぶ セキュリティ事故対応アワード

マイナビニュースは2月24日、「セキュリティ BIG 5が選ぶ セキュリティ事故対応アワード」を開催した。同アワードは、不幸にもセキュリティ事故/攻撃に遭ってしまったものの、その後の対応が素晴らしかった企業・団体を表彰するものだ。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る