文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    2000件のID入手、クレカ不正利用の容疑者逮捕

     不正入手したID・パスワードなどを使って大手通販サイトにログインし、無断で買い物をしたとして、容疑者が逮捕された。

     「SQLインジェクション」と呼ばれる攻撃によってID・パスワードを入手し、それを他の通販サイトのID・パスワードに当てはめたものだ。(ITジャーナリスト・三上洋)

    「SQLインジェクション」と「パスワードリスト攻撃」の合わせ技?

    • 容疑者は他のサイトへの攻撃で入手したID・パスワードを使い、楽天市場にログインし、クレジットカードを不正利用した
      容疑者は他のサイトへの攻撃で入手したID・パスワードを使い、楽天市場にログインし、クレジットカードを不正利用した

     警視庁サイバー犯罪対策課は1月22日に、他人のクレジットカードで商品を購入したとして川崎市多摩区の20歳の容疑者を逮捕した。昨年11月から12月にかけて、北九州市の80歳代女性のID・パスワードで大手通販サイト「楽天市場」にログインし、女性のクレジットカード情報を使ってスマートフォン1台(約4万2800円)を購入した疑いだ。

     容疑者は容疑を認めており、「ほかにも他人のカードで買い物した。総額は多すぎて見当もつかない」と供述している。容疑者の自宅などからスマートフォン約70台が押収されており、他にも余罪があると見られている。

    サイトの不備突く「古典的」手法…SQLインジェクション

     この事件だが、ポイントは大きく分けて2つある。1つは「SQLインジェクション」によって、他のサイトからID・パスワードを入手したこと。2つ目は、それを楽天市場のID・パスワードに当てはめて不正購入する「パスワードリスト攻撃」だったことである。

     まず1つ目だが、容疑者は昨年ご当地グルメを検索できる会員サイトに対して、SQLインジェクション攻撃と呼ばれる攻撃をかけ、ID・パスワードを盗みとっている。報道によれば、これ以外にも約30のサイトに同様のサイバー攻撃を行ったとのこと。合わせて約2000件のID・パスワードを入手した模様だ。

     SQLインジェクションとは、ウェブサイトで使われているデータベースを処理する際に、不正なコードなどを入れることにより、情報を盗み取ったり、書き換えたりする攻撃のこと。ウェブサイトで動いているアプリケーションの不備を突かれ、外部から情報を盗みとられたり、書き換えられたりすることが多い。

     古典的なウェブサイトへの攻撃手法だが、不備のあるウェブサイト(ウェブサイト上で動しているアプリケーションの不備)が多いために、今も多くの攻撃が行われている。たとえばIPAの「2014年度 情報セキュリティ事象被害状況調査(PDF文書)」によると、サイバー攻撃の手口の中で4番目に多いのがSQLインジェクションとなっている(1位DoS攻撃43.2%、2位標的型攻撃30.4%、3位脆弱(ぜいじゃく)性15.8%、4位SQLインジェクション9.2%)。

     今回の事件では、ご当地グルメを扱う会員制サイトが狙われたが、データベースを利用しているサイトは数多くあり、不備があればSQLインジェクション攻撃の被害に遭う可能性がある。サイト運営会社だけでなく、サイトの制作業者の責任問題にもなるだろう(後述)。

    使い回しが根本原因…パスワードリスト攻撃

     この事件の2つ目のポイントは「パスワードリスト攻撃」だ。

     容疑者は攻撃によって会員サイトで入手したID・パスワードを、他のサイトで使えないか試したのであろう。それでログインできたのが、楽天市場だったことになる。被害者である80歳代の女性は、ご当地グルメの会員サイトと、楽天市場で同じIDとパスワード(もしくはどちらかのみ)を使っていた。そのために楽天市場での不正利用を許してしまったことになる。

     いわゆる「パスワードリスト攻撃」と呼ばれるもので、他のサイトから入手したID・パスワードのリストを、他のサイトに当てはめて不正利用するものだ。

     根本的な原因は、私たちユーザーが、パスワードを使い回してしまうことにある。セキュリティー大手・トレンドマイクロが、昨年6月にパスワードの利用実態調査を行っているが、それによると93.1%ものユーザーがパスワードを使い回していた。1種類のパスワード使い回しが15.8%、2~3種類のパスワード使い回しが56.4%もあり、合わせて約7割のユーザーが「3つ以下のパスワードを使い回している」というのが実態だ(パスワードの利用実態調査2014:トレンドマイクロ)。

     ID・パスワードを使うサイトが多すぎて、かつ覚えきれないために使い回している人がいるのだが、それが今回のような不正利用事件の原因となっている。

     パスワードリスト攻撃については、以前の記事「LINE乗っ取りの原因、パスワードリスト攻撃とは」で詳しく取り上げている。今回の事件は、容疑者が「パスワード入手」と「不正利用」の両方を行っていたが、ネットの裏市場ではパスワードリストが販売されていると言われており、それを購入すれば簡単にパスワードリスト攻撃を実行できてしまうという問題がある。

    パスワードの「棚卸し」に加えて、運営側の対策がカギ

     ユーザー側の対策としては「パスワードの使い回しをやめる」ことがもっとも重要だ。一つ一つのサービスごとにパスワードを別のものにすること。とても時間がかかるが、安全のためにはやむを得ない。筆者はこの作業を「パスワードの棚卸し」と読んでいるが、1日かけて棚卸しをしっかりやってほしい。

     その上でID・パスワードは、エクセルなどの表計算ソフトにまとめてパスワードをかけるか、紙にメモとして書いて保存する。表計算ソフトやメモにすることはリスクがあるが、それでも使い回すよりは安全度が高いからだ。もっとスマートにパスワード管理をしたい人は、有料にはなるがパスワード管理ソフト(1Passwordなど)を使うといいだろう。

     企業やサイト運営側としては、SQLインジェクション攻撃への対策が不可欠だ。サイト上で動いているアプリケーションを見直し、安全度を高めることが重要になる。

     SQLインジェクション攻撃については、被害に遭った企業が、サイトを制作した業者を相手にした訴訟を起こし、2262万円余りの賠償を認めた判決が出た事例もある(徳丸浩氏による記事「SQLインジェクション対策もれの責任を開発会社に問う判決」参照)。サイト制作会社も、SQLインジェクション攻撃を許さないように、ウェブアプリケーションの安全度を高める努力が必要だ。

    2015年01月23日 17時03分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP