セキュリティの
学び場

今回の解説ニュース

サポートサイトに不正アクセスがあり、個人情報が漏えいした可能性があるということです。不正アクセスにいち早く気が付く方法と、それでも気が付くことが難しい不正アクセスの傾向について説明します。

今回のインシデントでは、サポートサイトを利用した一部顧客のメールアドレスが流失した可能性が判明しました。原因として、サーバの月間アクセス数が高く、異常が発生していることに気づき調査したところ、サポートセンターで運営している専用のサーバに不正アクセスがあったことを確認したということです。

対策として、対象の顧客にメールで連絡を行い、対策本部を立ち上げ、外部専門機関の協力のもとで不正アクセスのあったサーバの範囲と状況・原因等の調査と復旧の検討を開始し、あわせてサポートセンターのサーバを停止しています。また、個人情報保護委員会に報告を行っており、所轄の警察署への届け出の準備を進めています。再発防止策として、外部専門機関の協力を得ながら原因究明を進めるとともに、情報セキュリティ体制を強化するということです。

異常アクセス以外に不正アクセスは気付けるものなのか

物量として異常なアクセス以外に、内容として異常なアクセスを検知することができます。異常なアクセスを検知するセキュリティ対策として、IDSが挙げられます。

IDSとは、Intrusion Detection Systemの略で、不正侵入検知システムと訳されます。ホストやネットワークのイベントを監視して、インシデントの兆候を検知します。検知だけでなく不正侵入の遮断まで行うものをIPS、Webアプリケーションに特化したものをWAFと呼びます。

パスワード認証に対する不正アクセスを例に挙げると、パスワード認証に対して総当たり攻撃が行われた場合、すべての攻撃が成功するわけではないので、多くの認証失敗エラーが発生することが考えられます。短期間に多くの認証失敗エラーが発生した際に、パスワード認証の総当たり攻撃が行われている可能性をIDSで検知して、管理者へ通知することができます。

不正アクセスを気付かれないように行う事は可能？

通常かつ正常なアクセスで、気が付かれないように不正アクセスを行うことは可能です。その方法の一つとして、パスワードリスト攻撃が挙げられます。

先ほど説明した通り、不正アクセスは主に、量か質のいずれかをもって異常と判断することができます。逆を言えば、通常の通信量、かつ正常な内容でサイバー攻撃を行えば、不正アクセスとして検知される可能性は低くなります。

先ほどと同じくパスワード認証の例で言うと、パスワードリスト攻撃は検知することが難しいサイバー攻撃の一つと言うことができます。パスワードリスト攻撃とは、過去に流出したユーザIDとパスワードを用いて、別のサービスへの不正にログインを試みる攻撃手法です。既に使われているIDとパスワードの組み合わせでサイバー攻撃を行うため、成功確率の高い不正アクセスの一つと言われています。

このパスワードリスト攻撃を、10分に1回の頻度で行ったらどうなるでしょうか？おそらく、単純なタイプミスなどによる、通常の認証失敗エラーと区別をすることが難しく、不正アクセスとして検知することが困難となります。さらに、攻撃者がアクセス元のIPアドレスを変更してきた場合、特定のIPからアクセスが集中することもなく、さらに不正アクセスとして検知することが困難となります。

今回は、不正アクセスにいち早く気が付く方法と、それでも気が付くことが難しい不正アクセスの傾向についてお届けしました。