拡大する不正引き出しの手口や問題点
あなたがいまとるべき対策とは?

現在メディアで問題視されている不正引き出し事件は決して他人事ではありません。

今回の事件では、金融機関と連携している電子決済サービスに対し、
会員登録時の本人確認や銀行口座紐付け時の認証が不十分であることを悪用して、第三者の口座から不正引き出しが行われました。

これは複数の問題が重なって起こった事件ですが、根本的な原因としては、サービスの企画・開発に問題があったと考えられます。

サービスを企画・開発する際には、サービスの特性にあわせた脅威分析やセキュリティ施策の検討が必要ですが、
そもそも何をやったらよいか分からない、サービス立ち上げまでに時間がない、などの理由で セキュリティ検討が後回しにされがちです。

今回の事件をきっかけに、事業者の皆様におかれましては
、自社サービスのセキュリティ施策を改めて見直す機会としていただければ幸いです。

Chief Technical Officer

取締役CTO 徳丸 浩

EGセキュアソリューションズ株式会社 取締役CTO
京セラコミュニケーションシステム株式会社 技術顧問
独立行政法人情報処理推進機構(IPA) 非常勤研究員 技術士(情報工学部門)

Twitter:@ockeghem
著書:「 体系的に学ぶ 安全なWebアプリケーションの作り方
脆弱性が生まれる原理と対策の実践(ソフトバンククリエイティブ)

1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。

著作、執筆等

独立行政法人情報処理推進機構(IPA) 安全なウェブサイトの作り方(執筆担当)
同別冊 安全なSQLの呼び出し方 (執筆担当)
同別冊 ウェブ健康診断仕様 (執筆担当)
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 (著作)
CakePHP2 実践入門 (レビュー)

テレビ

■テレビ東京:WBS(ワールドビジネスサテライト)(9月17日)
なぜ相次ぎ発生 預貯金の不正引き出し

■テレビ東京:WBS(ワールドビジネスサテライト)(9月15日)
ゆうちょ銀 不正被害が拡大 ペイペイ5社でも

▼9月18日  日本テレビ:スッキリ
▼9月10日  日本テレビ:スッキリ
▼9月10日  テレビ朝日:グッド!モーニング
▼9月10日  フジテレビ:直撃LIVEグッデイ
▼9月9日    テレビ東京:WBS(ワールドビジネスサテライト)

企業の不正ログイン事件の解説

徳丸が過去に掲載したブログ記事から今回の事件の手口に関連した解説記事をピックアップしました。
今回の事件の手口の可能性が高い攻撃手法は、最新の高度なサイバー攻撃ではなく、以前から存在していたことがわかります。

パスワード攻撃に対抗するWebサイト側セキュリティ強化策

不正ログインについての全般的な解説記事。2013年に公開したものですが、
今話題のリバースブルートフォース攻撃も解説しています。
また、当時名称のなかったパスワードスプレイ攻撃(この名称が使われるのは2018年以降)の可能性についても言及しています。
https://blog.tokumaru.org/2013/05/how-to-protect-your-website-from-password-attacks.html


JALの不正ログイン事件について徳丸さんに聞いてみた
日本航空のサイトに対して不正ログイン攻撃があり40人のマイルがAmazonギフト券数百万円相当と交換された事件についての解説です。
手口の詳細は公表されていませんが、リバースブルートフォース攻撃が疑われています。
https://blog.tokumaru.org/2014/02/jal.html


ANAの不正ログイン事件について徳丸さんに聞いてみた
日本航空のサイトに対して不正ログイン攻撃があり、
9人のマイレージ総計112万マイルがiTunesギフトコードに勝手に交換された事件についての解説です。
こちらも手口の詳細は公表されていませんが、リバースブルートフォース攻撃が疑われています。
JALの事件の後ということで、手口の詳細と解説について、より踏み込んだ解説をしています。
https://blog.tokumaru.org/2014/03/ana.html


GitHubに大規模な不正ログイン試行
ドコモ口座の事件では、「パスワードスプレー攻撃」の可能性も指摘されています。
パスワードスプレーという名称は2018年以降使われていますが、
その初期の例と考えられるGitHubへの不正ログイン事件(2013年)について解説しています。
https://blog.tokumaru.org/2013/11/github.html

自社のサービスは大丈夫?と不安に思われたら

CORSの原理を知って正しく使おう

最近質問サイト等でCORS(Cross-Origin Resource Sharing)に関する質問が急増していますが、その多くがCORSの原理をまったく理解せずに、とにかくCORSの制限を回避して動かす方法を求めるように見受けます。

不正ログイン手法入門(初級編)

他人のIDとパスワードを用いてログインすることを不正ログインと呼びます。この動画では、代表的な不正ログインの手法について解説します。

今回の事件は、決して他人事や他社の話ではありません。
自社のオンラインサービスのセキュリティに不安を持たれた方は、
EGセキュアソリューションズにご相談ください。

Contact

まずはお気軽にお問い合わせください

Mail magazine

弊社徳丸の登壇情報はもちろん、セキュアなシステム開発を行うためのポイントや、
最近話題の脆弱性などについて配信しております。