ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2013-08-18

パスワードリスト攻撃の2013年4月〜8月の状況についてまとめてみた。

| 00:32 | パスワードリスト攻撃の2013年4月〜8月の状況についてまとめてみた。を含むブックマーク

パスワードの使いまわしを狙った不正アクセスについて最近見かける機会が増えたこともあり、自分の中で整理したくまとめました。対策については既に多くの記事で述べられているためここではとりあげません。

(8/20更新)
@games(ジークレスト)へのパスワードリスト攻撃を追加しました。

まずは読んでおきたいBlog、記事

このテーマ、また関連するパスワードについて先行研究・調査されている方の記事が既に沢山あるのでまずはこちらをメモ。

攻撃の呼び方は色々

パスワードの使いまわしをしているユーザーを狙うため、インターネット上で公開されている情報を拾い集めたり、ブラックマーケットで買取することで入手したアカウントリスト(ID、パスワードの一覧)を使い、対象にログインが可能かを試行する攻撃については、呼び方が複数あります。以下は検索した結果から調べた内容ですので間違っていたらご指摘ください。

 

呼び方(1) パスワードリスト攻撃

パスワードリスト攻撃」はIPA2012年7月の届け出状況の報告で使い始めた言葉です。セキュリティ専門家セキュリティベンダ(例えばSST)もこの言葉が使われているシーンを見かけます。この記事でもIPAにならってパスワードリスト攻撃という名称で記載していますが、IDとパスワードがセットで使われる攻撃にも関らずパスワードのみのリストのような「パスワードリスト」と表現されるのは今一腑に落ちないところでもあります。もしかすると「パスワードを使いまわしている人をリストアップした攻撃」の略なのかも知れません。:)

 

呼び方(2) 不正ログイン攻撃

「不正ログイン攻撃」は警察庁が2012年3月に公開した資料「(PDF)連続自動入力プログラムによる不正ログイン攻撃の観測結果について」で使用した言葉です。最近は主要メディアでもこの攻撃を「不正ログイン」と記載しているようです。*1この資料はインターネット上でサービスを提供する企業13社に対して攻撃の有無についてヒアリングした結果をまとめたものです。

 

呼び方(3) リスト型アカウントハッキング

「リスト型アカウントハッキング」(または「リスト型パスワードクラッキング」)は検索するとわかりますが、出所は不明ながらもオンラインゲームサービスを提供する事業者の注意喚起やゲームユーザーのBlogで見かけることが多いです。

オンラインゲーム業界のアカウントはのっとることで当該アカウントが所有する貴重な装備品、ゲーム内通貨を奪取し、RMT市場で取引することで簡単に換金することが可能であり、その換金性の高さから2006年からオンラインゲームに対する不正アクセスの被害が増加し、2010年頃には「リスト型アカウントハッキング」の存在についても語られています。 2010年11月に発生したサミーの「777town.net」への不正アクセス後には、真偽不明ながら同じID、パスワードを使用しているユーザーが被害を報告している事例もあり、オンラインゲームサービスの事業者も注意喚起をしています。

例えば次のような注意喚起や被害報告があります。

日付パスワードリスト攻撃を受けた企業注意喚起・被害報告
2010/11/16ガンホー【重要】アカウントハッキングにご注意ください。(魚拓)
2010/11/16USERJOY JAPAN【重要】アカウントハッキングについて(魚拓)
2012/08/15セガSEGA ID管理ページへの対応について(魚拓)
2012/10/04スクウェアエニックス【重要】 「リスト型アカウントハッキング」への対策について(魚拓)
2012/10/12ガンホー【重要】一部のお客様のガンホーIDパスワードの強制変更措置について(魚拓)
2012/10/12NCSOFT【重要】アカウント保護に関するお知らせ(魚拓)
2013/01/12バンダイナムコログイン時にエラーが発生された方に対するご注意(魚拓)

 

パスワードリスト攻撃の状況まとめ

2013年4月以降の各社の被害状況

2013年4月以降にパスワードリスト攻撃を受けた可能性があるとして被害状況を発表している企業は次の20社(8/20更新で1社追加)です。

No対象不正アクセス期間ログイン成功件数不正アクセス回数成功率個人情報閲覧の可能性金銭被害の発生公式発表
1Tサイト
(カルチュアコンビニエンスクラブ)
3/26299有り
(Tポイントギフト)
*2
  7/1527有り
(Yahoo IDと連携しEdyにチャージ)
*3
2MyJR-EAST
(東日本旅客鉄道)
3/3197約26,0000.373%有り*4
3goo
(NTTレゾナント)
4/1〜4/9108,716無し無し*5
*6
*7
4eBookJapan
(イーブックイニシアティブジャパン)
4/2〜4/57792,82127.614%有り無し*8
5フレッツ光メンバーズクラブ
(東日本電信電話)
4/430約20,0000.150%有り無し*9
  4/9〜4/1077約24,0000.321%無し*10
6mopita
(エムティーアイ)
4/18〜4/195,450有り無し*11
7dinos
(ディノスセシール)
5/4〜5/8約15,000約1,110,0001.351%無し無し*12
*13
8ワタシプラス
(資生堂)
5/6〜5/12682約240,0000.284%無し*14
9三越オンラインショッピング
(三越伊勢丹HD)
5/6〜5/238,2895,202,0020.159%有り*15
10阪急オンラインショッピング
(エイチツーオーリテイリング)
不明〜5/132,382有り*16
11ハピネットオンライン
(ハピネット)
4/24〜5/31最大16,808有り*17
*18
12じゃらんnet
(リクルートライフスタイル)
2/14〜2/16
6/3〜6/15
27,620約1,100,000*192.511%有り無し*20
13ニッセンオンラインショッピングサイト
(ニッセン)
6/1812611,0311.142%無し*21
14クラブニンテンドー
(任天堂)
6/9〜7/423,92615,457,4850.155%有り無し*22
15KONAMI ID
(コナミデジタルエンタテインメント)
6/13〜7/735,2523,945,9270.893%有り無し*23
16楽天市場
(楽天)
不明〜7/8有り*24
17@nifty
(ニフティ)
7/14〜7/1621,184有り無し*25
*26
18Gree
(グリー)
7/25〜8/539,5907,748,633*270.511%有り無し*28
*29
*30
19Ameba
(サイバーエージェント)
4/6〜8/3243,266特定日において通常の何倍ものログインエラー有り無し*31
*32
*33
20ジークレスト
@games
8/3〜8/1383.961有り無し*34
*35

 

付随情報

付随情報として各サービスの次の情報を調べてみました。表中ログインに関係する箇所で「−」と記載しているのはpiyokangoがサービスを使ってみて確認出来なかったものであり、機能が実装されているかいなかを保障するものではありません。またいずれもパスワードリスト攻撃を各社が受けた後に調査したものです。調査以前と以後で実装が変わっているケースもあります。例えば三越オンラインショッピングは「名前」項目がログインに必要な項目として事後に追加されたようです。

No対象会員数ログインIDパスワード認証連携多要素・多段認証ログイン連続失敗時ロックログイン履歴
1TサイトTカード番号
またはメールアドレス
半角英数字
6〜32文字
Yahoo! Japan ID
2MyJR-EAST約350万人*36
(2013/04/17時点)
任意設定
半角英数記号
4〜100文字
半角英数混在
6〜12文字
有り
3goo約1800万人*37
(2013/04/04時点)
任意設定
半角英数小記号(”-”、”_”のみ)
1〜30文字
半角英数記号
8〜32文字
NTT ID有り有り
4eBookJapan約77万人*38
(2013/03/22時点)
メールアドレス半角英数字
4〜20文字
有り
5フレッツ光メンバーズクラブ約404万人*39
(2013/04/11時点)
お客様ID(COP/CAF+半角大文字)
または日中連絡先電話番号
または任意指定(詳細確認出来ず)
半角英数字
8〜10文字
有り
6mopita約800万人*40
(2013/04/18時点)
任意設定
半角英数字記号(-,_,.)
6〜30文字
半角英数記号(-,_,.)
4〜40文字
docomo ID
楽天
au ID
Softbank
YAMADA
Google
Yahoo! Japan
facebook
CAPTCHA有り
7dinosメールアドレス半角英数字
6〜16文字
8ワタシプラス約75万人*41
(2012/12月末時点)
メールアドレス半角英大小数字
6〜12文字
英数字それぞれ一字以上必要
有り
9三越オンラインショッピング約73万人*42
(2013/05/25時点)
任意設定
半角英数字
6〜16文字
半角英数混在
8〜16文字
名前有り
10阪急オンラインショッピング任意設定
半角英数字
4〜16文字
半角英数混在
8〜16文字
11ハピネットオンラインメールアドレス半角英数字
6〜16文字
12じゃらんnet約900万人*43
(2011/05頃時点)
メールアドレス半角英数字
6〜20文字
有り
13ニッセンオンラインショッピングサイト約1103万人*44
(2012年12月時点)
メールアドレス
またはニッセンID(数字10桁)
半角英数字
5〜8文字
Twitter
Facebook
Mixi
姓名
14クラブニンテンドー約400万人*45
(2013/07/05時点)
任意設定
半角英大小数字
6〜12文字
半角英数混在
8〜12文字
有り
15KONAMI ID ポータル任意設定
半角英小数字記号(.,-,_)
8〜32文字
半角英数混在
8〜32文字
ワンタイムパスワード(有料)
16楽天市場約8357万人*46
(2013/05/09時点)
メールアドレス
または任意設定
半角英数字
6文字〜100文字
半角英数字
6〜128文字
有り有り
17@nifty任意設定
半角英数記号(-,_,.)
2〜32文字
1文字目は英字
特定の組み合わせ使用不可
半角英数記号
6〜24文字
有り有り
18Gree3500万人以上*47
(2013/08/18時点)
携帯メールアドレス半角英数字
6〜20文字
有り
19Ameba約2954万人*48
(2013/6月末時点)
任意設定
半角英数字記号(-)
3〜24文字
半角英数字
6〜12文字
20@games約400万人*49
(2013/06/21時点)
任意設定
半角英数字
4〜12文字
半角英数混在
8〜16文字
Mixi
Facebook
有り

 

各社を並べてみる

被害件数別

被害件数別に並べると次の通りです。

順位対象ログイン成功件数
1位Ameba243,266
2位goo108,716
3位@games83,961
4位Gree39,590
5位KONAMI ID35,252
6位じゃらんnet27,620
7位クラブニンテンドー23,926
8位@nifty21,184
9位ハピネットオンライン16,808
10位dinos約15,000
11位三越オンラインショッピング8,289
12位mopita5,450
13位阪急オンラインショッピング2,382
14位eBookJapan779
15位ワタシプラス682
16位Tサイト299
17位ニッセンオンラインショッピングサイト126
18位MyJR-EAST97
19位フレッツ光メンバーズクラブ(2回目)77
20位フレッツ光メンバーズクラブ(1回目)30
21位Tサイト27
楽天市場非公開

会員数が多いところが狙われてしまうとやはり相応の被害規模になる傾向のようです。不正アクセスを受けた日数にもよりますが、ゲーム関連のサービスの被害件数が多いですね。パスワードリスト攻撃に使われているリストに偏りがあるのでしょうか。

 

被害発覚に要した日数別

パスワードリスト攻撃を受け始めてから被害に気づく(確認する)までにかかった日数別に並べると次の通りとなります。

順位対象攻撃を受けてから
被害発覚までの日数
1位じゃらんnet(1回目)172日
2位Ameba124日
3位じゃらんnet(2回目)63日
4位ハピネットオンライン37日
5位KONAMI ID25日
6位クラブニンテンドー23日
7位三越オンラインショッピング17日
8位MyJR-EAST16日
9位Gree12日
10位ワタシプラス
@games
11日
11位dinos4日
12位eBookJapan3日
13位@nifty2日
14位goo
mopita
Tサイト
ニッセンオンラインショッピングサイト
1日
15位フレッツ光メンバーズクラブ
(1回目、2回目)
当日
楽天市場
阪急オンラインショッピング
非公開

攻撃を受けてから発覚するのが遅れると被害規模が大きくなる傾向のようです。被害発覚までに要した期間に対しgooや@gamesは被害件数が多いですね。

 

成功率別

パスワードリスト攻撃によるログインの成功率順にすると次の通りとなります。この11社の平均は「0.714%」でした。

順位対象成功率
1位じゃらんnet2.511%
2位dinos1.351%
3位ニッセンオンラインショッピングサイト1.142%
4位KONAMI ID0.893%
5位Gree0.511%
6位MyJR-EAST0.373%
7位フレッツ光メンバーズクラブ
(2回目)
0.321%
8位ワタシプラス0.284%
9位三越オンラインショッピング0.159%
10位クラブニンテンドー0.155%
11位フレッツ光メンバーズクラブ
(1回目)
0.150%

上位サービスの多くはログインIDがメールアドレスパスワードも半角英数字でした。

尚、eBookJapanはこのリストから外しています。同社の不正アクセスの成功率は27%と異常な高さですが、これは同社が実際に不正アクセスを受けた件数を報告にあたりフィルタリングしている可能性が考えられます。不正アクセス件数は2,821件ですが、これは同社が報告している「ログイン成立分」、「ログイン失敗分」から算出した数字であってプレスにもこれが不正アクセスの全件であるといった記載はありませんでした。またサーバーの過負荷から発覚したにも関わらずこの件数は4日間に行われたにしては少ないように思えます。

パスワードリスト攻撃を受けたことに気づいたきっかけ

パスワードリスト攻撃を受けたかどうかに気づくことが出来たきっかけを調べてみました。大きく分けると次の通りです。

  • 大量のログインエラーが出力された
  • アクセス先のサーバーが過負荷となった
  • ユーザーから問い合わせを受けた
  • パスワードリスト攻撃を受けたログを確認した
  • パスワードリスト攻撃の騒ぎを受けて自社も調べてみた
No対象きっかけ
1Tサイトユーザーから見覚えのない利用履歴があるとの問い合わせを受けて
2MyJR-EASTパスワードリスト攻撃の騒ぎを受けて自社も調べてみたことから
3goo大量のログインエラーが発生したことから
4eBookJapanアクセス先のサーバーが高負荷となったことから
5フレッツ光メンバーズクラブ大量のログインエラーが発生したことから
6mopitaパスワードリスト攻撃を受けたログを確認したことから
7dinos大量のログインエラーが発生したことから
8ワタシプラスパスワードリスト攻撃を受けたログを確認したことから
9三越オンラインショッピング大量のログインエラーが発生したことから
10阪急オンラインショッピング大量のログインエラーが発生したことから
11ハピネットオンライン大量のログインエラーが発生したことから
12じゃらんnetユーザーからログインできないとの問い合わせを受けて
13ニッセンオンラインショッピングサイトパスワードリスト攻撃を受けたログを確認したから
14クラブニンテンドー大量のログインエラーが発生したことから
15KONAMI ID大量のログインエラーが発生したことから
16楽天市場ユーザーから見覚えのない利用履歴があるとの問い合わせを受けて
17@niftyパスワードリスト攻撃を受けたログを確認したから
18Gree大量のログインエラーが発生したことから
19Ameba臨時でのログチェックより発覚したから
20@games大量のログインが発生したことから

ログインエラー(またはログイン処理)が大量に出ていたから気づいたとしている事業者が多いです。また金銭的な被害が発生しているケースではユーザーからの問い合わせを受けてから発覚しています。異常検知される水準の大量のログイン試行やユーザーが気づく程度の金銭的被害が発生しない場合、Amebaのように臨時でのログチェックでもしない限りパスワードリスト攻撃を受けた事実に気づくのは厳しいですね。

時系列まとめ

各社の発表を元に時系列に整理しました。

f:id:Kango:20130820061214p:image

未だ一連のパスワードリスト攻撃の関連性についての情報はありませんが、不正アクセス期間は綺麗に並んでいるように見えますね。また。ポータルサイトやゲーム関係、ショッピングサイトへ攻撃の行われた始めたタイミングがそれぞれ近しいようにも見えます。さらにたまたまかもしれませんが、大量のアクセスを試行するパスワードリスト攻撃の後に金銭的被害が発生するパスワードリスト攻撃が発生しているようにも見えます。真相は果たして。

余談

パスワードリスト攻撃の被害報告ですが似ている企業があるようです。私たちの目に見えないところでつながりがあるのでしょうか。

 

更新履歴

*1:2013年2月4日の読売の記事「リスト型アカウントハッキング1日10万件の攻撃も…使い回しID盗み悪用」では「リスト型アカウントハッキング」という名称が使われています。

*2(PDF)T サイトへの不正ログインによるなりすまし被害について,カルチュアコンビニエンスクラブ,2013/08/17アクセス

*3(PDF)T ポイント不正利用についてのお知らせとお願い,カルチュアコンビニエンスクラブ,2013/08/17アクセス

*4(PDF)My JR-EAST での不正ログイン発生とご利用のパスワード変更のお願い,東日本旅客鉄道,2013/08/17アクセス

*5gooIDアカウント不正ログイン被害について,NTTレゾナント,2013/08/18アクセス:魚拓

*6gooIDアカウント不正ログイン被害について(続報),NTTレゾナント,2013/08/18アクセス:魚拓

*7gooIDへの不正ログイン被害について(終報),NTTレゾナント,2013/08/18アクセス:魚拓

*8不正アクセスによる「なりすまし」ログインついての調査結果ご報告 (最終報告),イーブックイニシアティブジャパン,2013/08/18アクセス:魚拓

*9フレッツ光メンバーズクラブ会員サイトへの不正アクセスについて,東日本電信電話,2013/08/18アクセス:魚拓

*10不正アクセスへの対応等について,東日本電信電話,2013/08/18アクセス:魚拓

*11弊社サービスへの不正ログイン被害のご報告,エムティーアイ,2013/08/18アクセス:魚拓

*12(PDF)【重要】セキュリティ強化のためのパスワード変更のお願い,ディノス,2013/08/18アクセス

*13(PDF)【重要】弊社運営のオンラインショッピングサイトへの不正ログイン被害について ※セキュリティ強化のためのパスワード変更のお願い(第二報),ディノス,2013/08/18アクセス

*14ワタシプラスにおける不正ログイン被害について,資生堂,2013/08/18アクセス:魚拓

*15(PDF)三越オンラインショップ・不正アクセスについて,三越伊勢丹HD,2013/08/18アクセス

*16(PDF)阪急・阪神百貨店オンラインショッピング、不正アクセスについて,エイチツーオーリテイリング,2013/08/18アクセス

*17オンラインショップへの不正アクセスについて,ハピネット,2013/08/18アクセス:魚拓

*18オンラインショップへの不正アクセスについて(経過報告),ハピネット,2013/08/18アクセス:魚拓

*19「じゃらんnet」で不正ログイン 情報流出か,日本経済新聞,2013/08/18アクセス:魚拓

*20じゃらんnetへの「なりすましログイン」検知のご報告とパスワード変更のお願い,リクルートライフスタイル,2013/08/18アクセス:魚拓

*21(PDF)【重要】ニッセンオンラインショッピングサイトへの不正ログイン状況、及びお客様へのお願いについて,ニッセン,2013/08/18アクセス

*22「クラブニンテンドー」サイトへの不正ログイン発生のご報告とパスワード変更のお願い,任天堂,2013/08/18アクセス:魚拓

*23「KONAMI IDポータルサイト」への不正ログイン発生のご報告とパスワード変更のお願い,コナミデジタルエンタテインメント,2013/08/18アクセス:魚拓

*24他社サイトから流出したID・パスワードを使った不正ログインの発生およびパスワード変更のお願いについて,楽天,2013/08/18アクセス:魚拓

*25不正なログインの発生について,ニフティ,2013/08/18アクセス:魚拓

*26お客様情報一覧の不正なログインの発生について,ニフティ,2013/08/18アクセス:魚拓

*27不正ログイン:GREEに約775万件のサイバー攻撃 不正閲覧約4万件,毎日新聞,2013/08/19アクセス:魚拓

*28「GREE」への不正ログインに関するご報告,グリー,2013/08/18アクセス:魚拓

*29不正ログイン発生のご報告とアカウントの一時停止について(第2報),グリー,2013/08/18アクセス:魚拓

*30不正ログイン発生のご報告とアカウントの一時停止について(第3報)-不正ログイン発生に関するご利用再開について-,グリー,2013/08/18アクセス:魚拓

*31【重要】Amebaへの不正ログインに関するご報告 ※追記あり,サイバーエージェント,2013/08/18アクセス:魚拓

*32【不正ログインについて】アメーバID状況確認のお願い ※追記あり,サイバーエージェント,2013/08/18アクセス:魚拓

*33【不正ログインについて】追加ご報告,サイバーエージェント,2013/08/18アクセス:魚拓

*34「アットゲームズ(セルフィタウン)」への不正ログインに関するご報告,ジークレスト,2013/08/20アクセス:魚拓

*35「アットゲームズ(セルフィタウン)」への不正ログインに関する追加ご報告,ジークレスト,2013/08/20アクセス:魚拓

*36JR東サイトに不正アクセス,大分合同新聞社,2013/08/17アクセス:魚拓

*37「gooID」に不正ログイン攻撃、10万アカウントが突破される,InternetWatch,2013/08/17アクセス:魚拓

*38eBookJapan、電子書籍版マンガ全集とASUSの7型タブレットをセット販売開始,InternetWatch,2013/08/18アクセス:魚拓

*39フレッツ光会員サイトで再び不正ログイン被害、全404万アカウントを凍結,InternetWatch,2013/08/18アクセス:魚拓

*40スマホ向け認証・決済サービス「mopita」、5450アカウント不正ログイン被害,InternetWatch,2013/08/18アクセス:魚拓

*41資生堂/ネット会員75万人超/ウェブ連動で店頭売上10%増,日本ネット経済新聞,2013/08/18アクセス:魚拓

*42三越サイトで不正アクセス 8300人分の情報流出も,MSN産経,2013/08/18アクセス:魚拓

*43東日本大震災に係る鳥取県の観光対策について,鳥取県,2013/08/18アクセス:魚拓

*44(PDF)2012年12月期決算発表会,ニッセンHD,2013/08/18アクセス

*45任天堂の会員制サイトに不正アクセス 1545万回,日本経済新聞,2013/08/18アクセス:魚拓

*462013年度第1四半期決算説明会,楽天,2013/08/18アクセス

*47:グリーポータルより

*48Ameba最新データ,サイバーエージェント,2013/08/18アクセス

*49「アットゲームズ」,会員数が400万人突破。記念アイテムをプレゼント,4games.net,2013/08/20アクセス:魚拓