セキュリティ攻撃が巧妙になり、システムの脆弱性が頻繁に見つかる。そんな状況下で、セキュリティ担当エンジニアはどう戦っているのか。2人のストーリーを通し、対策の最前線をかいまみてほしい。

かつてないリスト攻撃で
顧客アカウントを乗っ取られる

山下 直樹 氏(仮名)36歳
山下 直樹 氏(仮名)36歳
ネット系物販会社
情報セキュリティグループ リーダー

情報セキュリティのスペシャリストとして経歴を積み重ね、5年前に現在の会社に転職。間もなく情報セキュリティグループのリーダーに就任。3人のメンバーを抱える。緊急事態に備え、オフィスからタクシーで5分ほどの場所に住む

――2014年6月某日。ネット系物販会社で情報セキュリティグループのリーダーを務める山下直樹氏は、いつも通り朝9時15分に出勤した。通勤時間はドア・ツー・ドアで20分。何かあったときのためにオフィスの近くに住む。

 始業まで15分残っているが、情報セキュリティグループのメンバー3人も既に出社している。「みんな真面目だからというより、朝一番にやることを終えないと落ち着かない」と山下氏はいう。

 やることとは、ログの確認である。山下氏が所属するA社は、インターネットで物販をしており、24時間開店している。そのため昨晩退社してから現時点までのログが溜まっている。それをチェックしなければならない。

 特に重要なのは、不正ログインの状況を把握することだ。セキュリティ攻撃者は、ログイン画面から正規の会員顧客のアカウントを乗っ取って、登録されているクレジットカードで不正に商品を購入し現金化する。

地下で売買されるアカウント情報

 アカウントを乗っ取るために、攻撃者は「アカウントリスト攻撃(リスト型アカウントハッキング)」という手口を使う。今アンダーグラウンドでは、どこかのWebサイトから流出したアカウント情報、つまりIDとパスワードの組み合わせが売買されている。インターネットユーザーの多くは、同一のIDとパスワードの組み合わせを、いろんなサイトで使う。そこでアカウント情報をアンダーグラウンドで入手し、片っ端からログイン画面に入力していくわけだ。

 アカウントリスト攻撃には通常、自動化ツールが用いられる。そのため例えば同一のIPアドレスから何百回もログインを試みていたら、間違いなくアカウントリスト攻撃だ。このようにして攻撃を検知することが可能である。

 一般にはあまり知られていないが、アカウントリスト攻撃によって日常的に、会員顧客のアカウントが乗っ取られている。A社のサイトでいえば、1日に何人かのアカウントが乗っ取られるのは日常茶飯事だという。そもそも攻撃者は正しいIDとパスワードの組み合わせでログインしてくるのだから、その中から不正なものをすべて検知して防ぐのは無理なのだ。

 このようにサイトの「入り口」だけでは防ぎ切れないから、「出口」でも防ぐ。A社は購入履歴の分析によって、商品購入の怪しい動きを検知し、アカウントをロックする。換金性の高い商品、個人では買わない数量、特定の送付先といったさまざまな条件で引っかけることができる。換金性の高い商品は、流行廃りがある。一昔前でいうと、ゲーム機の「PlayStation4」がそうだった。最近は、高額なデジタル一眼レフカメラが主流という。

攻撃の成功率がいつもより1ケタ高い

 さて、今朝の話に戻ろう。山下氏が昨晩からのログをチェックしたところ、同一IPアドレスからの大量ログインの履歴がいくつもあった。IPアドレスを少しずつ変えているが、おそらく同一の場所からのものだろう。

 そのログイン成功率を見て、山下氏は絶句した。いつもより1ケタ高い。それによって、経験したことのない件数のアカウントが、一晩で乗っ取られてしまった。何が起こったのか?

 他のメンバーも気付いたらしい。ただならぬ事態に緊張感が走る。

 すぐさま山下氏が指示し、グループ全員で、乗っ取られた可能性のあるアカウントをロックする作業を始めた。ロックした上で、その会員顧客の登録アドレスにメールを送り、そこに記載したURLのページから新しいパスワードを登録してもらう仕組みだ。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。