今回はある健康情報ポータルサイトで発生した不正アクセス事例を取り上げます。他社の情報漏えいを悪用したリスト攻撃と、メールアドレスに含まれる個人情報、そしてメールによる二段階認証の脆弱性が組み合わさって侵害に至った経緯を学び、より安全な認証方法への理解を深めていきましょう。
ある共済組合は11月28日、組合員および被扶養者が利用可能な健康情報ポータルサイト「Pep Up」への不正アクセスについて発表した。
こちらの記事を、簡単に解説お願いできますでしょうか?
この事例は、ある共済組合が提供する健康情報ポータルサイト「Pep Up」で発生しました。他社から漏洩したIDとパスワードを使った「リスト攻撃」により、まずユーザーのメールアカウントが乗っ取られたと推測されています。さらに、そのメールアドレスに生年月日が含まれていたため、個人情報が悪用されました。この組み合わせによって、メールによる二段階認証が突破され、ユーザーのポイントが不正に交換されたインシデントです。サービス提供会社は、メールの二段階認証では認証キーが暗号化されずに送られるリスクがあるため、Google認証アプリなど、より強固な認証方法への切り替えを推奨しています。
質疑応答
今回出てきた「リスト攻撃」とは、どのようなものなのですか?
リスト攻撃とは、他社サービスなどから漏えいしたIDとパスワードのリストを使い、別のサイトやサービスへのログインを試みる攻撃のことです。多くの方が複数のサービスで同じIDとパスワードを使い回しているため、一つの情報漏えいが他のサービスへの不正アクセスの足がかりとなるリスクがあります。今回の事例でも、メールアカウントがリスト攻撃の標的となり、そこから次の段階へ進んでしまいました。
メールアドレスに生年月日が含まれていると、なぜ問題になるのでしょうか?
メールアドレスに生年月日などの個人情報が含まれていると、攻撃者はその情報を使って本人確認を突破したり、他の個人情報と紐付けやすくなります。例えば、この事例では、メールアカウントが乗っ取られた際に、メールアドレス内の生年月日が不正アクセスの手助けとなり、二段階認証を突破する材料として悪用された可能性が指摘されています。安易な情報を含まないメールアドレスの使用が大切です。
メールによる二段階認証は、今回の事例のように突破されることがあるのですね。なぜでしょうか?
メールによる二段階認証は、認証キーがメールで送られます。このメールが、乗っ取られたメールアカウントに届くため、攻撃者はその認証キーを直接見てしまうことができます。また、メールの通信経路で認証キーが傍受されるリスクもゼロではありません。そのため、メールアカウント自体が侵害されると、二段階認証の意味をなさなくなってしまうのです。より安全な方法を検討する必要があります。
では、サービス提供会社が推奨している「Google認証アプリ」による二段階認証とは、どのような仕組みなのですか?
Google認証アプリなどによる二段階認証は、時間ごとに使い捨ての認証コードを生成するアプリをスマートフォンにインストールして利用します。このコードは、ネットワークを介して送られるのではなく、アプリ内で独立して生成されるため、メールのように乗っ取られたアカウントに届いたり、通信経路上で傍受されたりするリスクが格段に低くなります。より強固なセキュリティを提供できるため推奨されています。
私たちユーザーが、このような不正アクセスから身を守るためにできる対策は何でしょうか?
まず最も重要なのは、パスワードの使い回しをやめることです。各サービスで異なる、複雑なパスワードを設定しましょう。そして、二段階認証を設定する際は、メールではなく、Google認証アプリのような時間ベースのワンタイムパスワードを利用する方式を選ぶことを強くお勧めします。また、身に覚えのないログイン通知などにはすぐに反応し、利用しているサービスのセキュリティ情報を定期的に確認することも大切です。
まとめ
今回のセキュラジでは、健康情報ポータルサイトでの不正アクセス事例を学びました。リスト攻撃やメールアドレスの個人情報、メールによる二段階認証の脆弱性が重なり、被害が発生。パスワードの使い回しをやめ、より強固な二段階認証を選ぶ重要性を再認識しました。また一つ、勉強になりました!
