とあるIT屋の独白

ITや経営について主に書きます

リスト型アカウントハッキングとは何か

少し前に話題になったセブンペイでの不正利用問題、この不正利用に関して攻撃者はリスト型アカウントハッキングという手法を使われていたと言われています。

【セブンペイ突如廃止!見切り発車の重い代償】
https://toyokeizai.net/articles/-/295523?display=b

もちろん、セブンペイのセキュリティ対応がいまいちだったことは周知の通りなのですが、リスト型アカウントハッキングという手法は対策しにくい攻撃手法の一つです。この手法の特徴として、攻撃者が何らかの手段で別サイトからIDとパスワードを取得してそれを他のサイトの認証で使うため、サイト側はそれが本人によるログインかは識別できないためです。
下記の記事のように、ユニクロECサイトでも同様の手法で顧客情報が不正に閲覧されていたりします。

ユニクロジーユーのECサイト不正アクセス、リスト型攻撃で46万件強の顧客情報が閲覧された可能性】
https://netshop.impress.co.jp/node/6459

対策の手段ですが、これをやれば絶対大丈夫というものは今のところないかなと思っていて、以前に本ブログで紹介したWAF(Web Application Firewall)を入れたり、
https://toaruit.hatenablog.com/entry/2019/03/21/220125
二段階認証やIPアドレスのチェックを行ったりするようなものが、挙げられます。また、下記の記事のようにログインの失敗履歴を記録していき、閾値を超えたらアラートを出すような仕掛けを入れるような対策もあったりします。

GMOメディアでのリスト型アカウントハッキング対策】
https://tech.gmo-media.jp/post/91295032861/account-list-attack