STOP!パスワード使い回し! - 楽天の対策と個人への啓蒙活動とは?

JPCERTコーディネーションセンターが2014年よりスタートした「STOP!パスワード使い回し!」というキャンペーンがあります。ほかのサービスで使用しているパスワードを使い回すことで、そのパスワードが外部に漏れた場合、あらゆるサービスから自分の個人情報が漏れる可能性があるため、使い回しには多大なリスクがあると言われています。

今回、マイナビニュースでは特集として、JPCERTコーディネーションセンターや日本を代表するネット企業10社から寄稿いただき、「なぜパスワードを使い回してはいけないのか」「パスワードを使い回すとどのようなセキュリティリスクがあるのか」など、具体的な事例を交えて解説を行います。

9回目は、楽天 開発本部 ITガバナンス部 サイバー犯罪対策室 室長 増村 洋二氏による寄稿です。

【特集】STOP!パスワード使い回し!
ヤフー、楽天らネット企業10社が語る"リスク"と"対策"

突然の電話

2014年9月に「STOP!! パスワード使い回し!!」キャンペーンへ参画してから3カ月後の12月。セキュリティ事案で日頃からやりとりをしているある捜査機関の担当者から一本の電話が入った。

楽天のサービスを利用しているお客様が不正アクセスの被害にあい、その不正アクセス行為を行った者を特定しているという内容だった。われわれはその容疑者が楽天サービスにおいて不正を行ったログの一切の洗い出しなどの捜査協力を求められたため、規定の手続きにのっとり、対応する旨を伝えた。

事件のあらましはこういうことだ。

不正アクセス行為者は某サイトにSQLインジェクション(※)を仕掛け、それにより大量のIDやパスワードを奪い、楽天サービスや他のサイトにそれらを使って不正にログインを試み、某サイトと楽天サービスにおいて同じパスワードを使っていたケースにおいてログインに成功した。

そのお客様が自ら最寄りの警察署に相談に行かれたことがきっかけとなり、捜査が進んでいた。

その後、この事案では私たちが提供した「不正を試みたまたは不正アクセスに成功したと疑われる一切のログ」と他事業者のログをもって容疑者の立件、逮捕と至ったのだが、ひとたび第3者による不正ログインを許してしまうと「好き勝手にされてしまう」という事を象徴している事案であった。

(※) SQLインジェクション: データベースと連携されたWebサイトに対して不正なプログラムを埋め込むことによりデータベースを改ざんしたり不正に情報を入手する行為。

私達に出来ること

楽天サービスを利用されているお客様が最大限、この様な被害にあわれないために、われわれはできることを精一杯実行するとともに状況の変化を見定めながら日々それらを見直し、改善を続けていかねばならないと考えている。もちろん、楽天市場に出店していただいている店舗様や他のサービスにおいて関係のある方々の保護も含めてだ。まずは社内における対策をご紹介したい。

• モニタリング

楽天会員IDへの不正ログインに対しては24時間365日態勢でモニタリングを行っており、1つのIPアドレス内にあるIDに対して一定数以上ログインが失敗した場合は自動的にパスワードをリセットしている。

もちろん、パスワードをリセットした事はお客様に通知している。これは、通常であれば発生しにくいログインの失敗回数を閾値にしており、その閾値を超えるログイン試行は不穏なログインアクションであるという認識の元でリセットをすることでお客様のIDが不正にログインされることから保護することにつながっている。

• IPアドレス登録

明らかに不穏なアクセスを繰り返しているアクセス元のIPアドレスに関しては、一定期間、通常のIPアドレスからのアクセスと扱いを変えている。当該IPアドレスからログインがあった時はID、パスワードに加えて会員登録してある生年月日を入力してもらうことで認証率を高めている。

• ログ解析

私たちは、不正アクセス事案が発生した際または発生していなくても常に詳細なログの解析を行っている。

楽天会員になると共通のIDでさまざまなサービスを使えるよう利便性を高めているのだが、冒頭の例のようにひとたび不正にログインをした悪意ある者は時にこれを逆手に取り、さまざまなサービスを同時に使う。

そういった挙動がある、又はそれと思しき不穏なIDを日々サービス毎に集めて解析を行い、一定の判断のもと、被害拡大の前に当該IDを停止したりパスワードをリセットするなどの処置を行っている。

• 行動解析とパターンマッチング

楽天技術研究所とのコラボレーションで悪意ある行動の解析を行っている。

上記の不穏なIDの収集などから、不正行為者の行動には一定のパターンが見受けられる。すべてとは言わないが、特定のブラウザを使用していたり、特定のプロバイダーからアクセスしていたり、特定の地域からアクセスしていたり、物品を購買した場合であれば特定の場所への配送を指定していたりするということがある。

これらのデータは一定期間をへると膨大な量のデータになる。これら膨大なデータを有効な対策に生かさない手はない。楽天では技術研究所の研究員と共にこれらのデータから不正行為者の行動解析を行い、パターンによる検出ができないか、または、特定のソリューションに入れ込んで自動的な判定を行って不穏な挙動を起こす前に排除できないかどうか、検討を重ねている。

また、事故発生時の迅速な対応体制としてRakuten-CERTも設置している。続いて、サービス上で提供している各種機能をご紹介したい。

• ログイン通知とログイン履歴

会員の方がログインされるたびに、登録していただいているメールアドレスに通知を行い不穏なログインがないか、常に監視している。

また、会員情報などが確認できるmy Rakutenにおいてログイン履歴も確認できるようにしてあり、ログインした日付、曜日、時間、分、秒までとログインしたサービス、利用端末、IPアドレスまでを一覧として見られるようにしてある。これも身に覚えのないログインがされていないかということをすぐに気付ける重要な機能の1つである。

• ポイント利用・獲得履歴

ポイントに関しても自分が預かり知らない利用がなかったかどうかを常に確認できるようにしてある。楽天会員IDと同様に、折角貯めた大事なポイントに関しても大切に管理していただけると嬉しい限りだ。ポイントの獲得や利用に関する履歴は楽天Point Clubからいつでも確認できるようになっている。

• 購入履歴

購買の履歴も同様に常に確認ができるようになっている。不審な購入がされていないかどうかがひと目でわかるようになっており、楽天市場のトップページの右上から1回のクリックでたどりつけるようになっている。

• 啓発

お客様にはパスワードを使い回していることで遭遇してしまう被害の甚大さを理解してもらい、複数のサービスで同じパスワードを使わないようにサービスサイトおよびコーポレートサイトで継続的に啓発を行っている。本連載を引き受けたのもこの一環である。

• 救済

万が一、不正アクセスに遭遇してしまった場合は楽天ヘルプ画面からその旨を申告してもらうとともに最寄りの警察署の該当部門にも相談をしていただくようお勧めをしている。全国の警察署の該当部門の一覧はコーポレートサイトの中にリンクを貼り、すぐに連絡先がわかるようにしてある。

これらの機能やページはお客様自身で防衛力や気づきを高められるものとして提供させていただいており、ご存じなかった人は、これを機会に是非ご覧になり、利用いただきたいと思う。

最後に会社組織外との連携に関してご紹介をしたいと思う。これは、当社以外の大手ネット企業の多くも同様の取り組みも行っており、広く安全なネット社会を構築するうえで欠かせない連携と認識していただけると幸いだ。

• 捜査機関との連携

前述の通り、不正ログインにわわれたお客様には最寄りの警察署に相談してくださいとお薦めしている。

そのうえで、会社としても警視庁サイバー犯罪対策課に一報を入れた後、事案が起きた事業所の最寄りの警察署に届け出を行い、サイバー犯罪対策課の方々に同席いただきながら事案解決のための相談を行っている。

昨今は非常にサイバー犯罪が多発、巧妙化していることもあり、警察の皆さんも熱心に取り組まれている。

• 同業他社との連携

冒頭の事象のように、もはや一企業だけの問題ではないため、常日頃から同業他社との情報交換は欠かせない。

特集で執筆している他社をはじめ、その他複数の企業との連絡会を通じて最新事情や対策に関して協議する場を設けている。お互いのレベルを高め、ひいては複数のインターネットサービスをご利用されるお客様の安全性を向上させることに鋭意努力している。

• JPCERT/CCとの連携

特集の主催者であり、日頃さまざまな面で大変お世話になっているJPCERT/CCには不正なサーバの通知とそれへの対処、対応に関する助言や最新情報を提供いただいている。

• ISP(インターネットサービスプロバイダー)との連携

必要に応じてISP各社には不正アクセス元のIPアドレスに関してアビューズフォームから連絡をしたり、個別の連絡・相談を通じたりして助けてもらっている。

• セキュリティベンダーとの連携

セキュリティベンダー各社には会社のセキュリティ対応状況を伝えしつつ、必要に応じて契約・ソリューションの提供や、相談を行っている。

また、ネットには国境がないため、事案によっては国際的な解決も考えねばならない。捜査権がないものの、頼もしい機関の1つとしてインターポールのサイバー犯罪に対する専門組織としてシンガポールにあるIGCI(The INTERPOL Global Complex for Innovation)が存在する。ここでは、ほぼ全世界のサイバー犯罪に関する情報を集めているとともに、不正行為が行われた当該国の捜査機関への橋渡しが行われる。今後は私たちも連携を深めるべく、実際に足を運んで協議を行っている。国内においてもJC3(日本サイバー犯罪対策センター)にユーザー企業とし唯一参加しており、最新事例や対策例の収集、自分達だけでは得難い知見を得るべく彼らの活動に参加している。

以上、これらはほんの一部だが、常にサービスを利用するお客様の保護を第一に考え、日々努力と改善を続けている。

敵を知り己を知る

ところで、不正行為を行ったり、攻撃を仕掛たりする相手は何を目的としているのだろうか。「敵を知り己を知る」という有名な言葉があるが、不正アクセスにおいても十分当てはまるのではないかと思う。

サイバー犯罪や攻撃の動機・目的としては、テロやハクティビズム、自己顕示欲の誇示などさまざまあるだろうが、こと楽天のようなネットサービスにおいては経済的目的が一番なのではないかと考えている。

多くの会員を抱えている企業やサービスを狙えば、効率的に金銭や物品が手に入る。会員の多くがクレジットカード登録で買い物されているが、ひとたび会員IDを乗っ取れれば正規会員のクレジットカードを用いて、買い物ができてしまうわけである。他人のIDを乗っ取ることで欲しい物を得たり、得たいサービスを享受したり、高値転売を目的とした物品が購入できたりするのは、経済的にメリットがあると考えているようである。

また、世の中には残念ながら"闇マーケット"なるものが存在しており、多数のサービスの会員IDやパスワード、クレジットカード情報などが売り買いされている。多少手間や金銭は掛かるかもしれないが、それを上回る利益が得られるのであれば、これら闇情報を使って購買活動が起きてもおかしくない。いや、実際に起きているのだ。

昨今では組織的犯行が叫ばれており、非常に洗練された頭脳集団であるうえ、役割分担もしっかりしていると、さながら会社組織のように役職や各役割に応じた目標やインセンティブもあると聞く。

また、1日の攻撃のトレンドを見ていると、すべてではないが、攻撃は9時から17時の間に行われ、12時～13時はいったん治まるなど、さも勤務時間内で行っているかのような動きを見せたりする。冒頭の例は単独犯だったのだが、今後は単独の攻撃はレアケースになっていくのかもしれない。

こうなると私たちは、より組織的、体系的に対処すべく戦略的なプランを練らないとならない。事後対策はもちろん、予防に向けたアクションとして起きるであろう"こと"をどのように予測し、どのようにプライオリティをつけ、どのようにリソースを配分していくか。いわゆる戦い方も含めて考えていかねば、早晩組織、サービスを壊滅させられてしまうリスクを背負っているとも言えよう。サイバー戦争は何も国家に限った話ではないのである。

未来へ向けて

パスワードがいらない世界になれば、こうした被害はある程度減っていくことが予想される。読者の中にはFIDO(Fast Online Identity)という言葉を聞いたことがある方もいると思う。

楽天もこのFIDO Allianceに参画しようとしているのだが、簡単に言えば「パスワードに変わる認証を導入し、今よりセキュリティを高めよう」という業界横断的な活動だ。

まだまだ活動の端緒についたばかりで超えるべき壁もあり、楽天もすぐに導入ということにはならないと思うが、次世代の認証方法としてお客様の保護レベルを上げることで、さらに安心してサービスを利用いただけるようになると思うと期待は大きくなるばかりである。

著者プロフィール

増村洋二(ますむら ようじ)
楽天株式会社 開発本部 ITガバナンス部 サイバー犯罪対策室 室長

大学卒業後、印刷会社・広告代理店を経て人材派遣会社にて情報セキュリティ業務に従事。
2005年大手ネット企業に入社し、情報セキュリティ業務を担当。その後、情報セキュリティ部門のマネージャーに就任しつつCSIRTの立ち上げに関わる。
2014年に楽天へ入社し、サイバー犯罪対策業務に従事。2015年にはサイバー犯罪対策室 室長へ就任し、室員と共に最前線での対応を続けている。