【転載】最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA)

最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA):

国立研究開発法人情報通信研究機構(NICT)と独立行政法人情報処理推進機構(IPA)は7月7日、共同で運営する「暗号技術活用委員会」の2019年度の活動成果として、「TLS暗号設定ガイドライン」第3.0版および「暗号鍵管理システム設計指針 (基本編)」第1版を作成し、公開した。TLS暗号設定ガイドラインは、2020 年 3 月時点における TLS 通信での安全性と相互接続性のバランスを

踏まえた TLS サーバの設定方法を示すもの。



以前の「SSL/TLS 暗号設定ガイドライン(version 1.x/2.x)」発行以降、TLS1.3 発行[RFC8446]や、SSL3.0禁止[RFC7525]、ChaCha20-Poly1305 追加[RFC7905]、RC4 禁止[RFC7465]など、同ガイドラインの記載内容に大きく影響する規格化が相次いで行われており、SSL/TLS の利用環境も大きく変化した。また、推奨セキュリティ型で利用が認められていた TLS1.0 や TLS1.1 は、本ガイドラインではセキュリティ例外型のみで利用可能としている。



具体的には、次のような要求設定となっている。



・高セキュリティ型

TLS 1.2

→TLS 1.3(必須)およびTLS 1.2(オプション)

・推奨セキュリティ型

TLS 1.2~TLS 1.0のいずれか(PFSなしも推奨)

→TLS 1.2(必須)およびTLS 1.3(オプション)、PFSのみ推奨

・セキュリティ例外型

TLS 1.2~SSL 3.0のいずれか

→TLS 1.3~TLS 1.0のいずれか



また、以前のバージョンではすべての設定項目が「要求設定」となっていたが、本バージョンでは設定項目が安全性へ寄与する度合いを考慮し、最低限の安全性を確保するために必ず満たさなければならない「遵守項目」と、当該設定基準としてよりよい安全性を実現するために満たすことが望ましい「推奨項目」に分け、より現実的かつ実効性の高い要求設定としている。



章構成においても、以前のバージョンでは「プロトコルバージョンの設定(4 章)」「サーバ証明書の設定(5 章)」「暗号スイートの設定(6 章)」として、それぞれの章に高セキュリティ型、推奨セキュリティ型、セキュリティ例外型の設定項目を記載していたが、本バージョンでは「推奨セキュリティ型の要求設定(4 章)」「高セキュリティ型の要求設定(5 章)」「セキュリティ例外型の要求設定(6 章)」とし、それぞれの章にプロトコルバージョン、サーバ証明書、暗号スイートの設定項目を記載。参照しやすくしている。



暗号鍵管理システム設計指針 (基本編)は、セキュアな暗号アルゴリズムを利用する上で極めて重要な役割を果たす「暗号鍵」の管理に関する在り方を解説し、暗号鍵管理システム(CKMS:Cryptographic Key Management)を設計・構築・運用する際に参考すべきドキュメントとして作成されたもの。暗号鍵管理の位置づけと検討すべき枠組みや、技術的な内容について解説している。

《吉澤 亨史( Kouji Yoshizawa )》




バックアップ

事業会社におけるセキュリティの位置付け


ガートナーの長谷島さんの本「変革せよ!IT部門」を読んで、事業会社におけるセキュリティの位置づけが少し進んだ。

事業会社におけるセキュリティとは、果たして何なのだろうか。

対策を怠ると機密情報が流出したり、企業のブランドイメージを毀損する等に繋がる一方で、セキュリティに投資をしても売り上げ増には繋がらない。

となると、コストに位置付けられる。

頑張ってもCSR(企業の社会的責任)強化程度の説明にしかならない。

一方で、このセキュリティをITガバナンスの一部としてみると、少し景色が変わってくる。



ITガバナンスとして俯瞰するとセキュリティはJ-SOXやIFRSと同列のものとして出てくる。

J-SOX対応やIFRS対応をコストだからと言ってケチる経営者はいるのだろうか?

セキュリティもJ-SOXやIFRSと同様の統制強化の一環として取り組めば、コスト云々の苦行から脱することができるのではなかろうか?

ただ、J-SOXやIFRSはある程度のゴール設定があるのに対して、セキュリティはDXの一部でもあり、明確なゴールは設定できない(正確には設定しても時間の経過とともに変わってしまう)。

そうなると、アプローチとしては「やるべきこと」をまずは洗い出し、優先順位を立てて絞り込んでいく流れとなる。

絞り込みのアプローチの一つとしては、原資を明確にすることである。

セキュリティの原資はIT予算における比率で計算する。

で、IT予算はどう計算するのかというと、企業の売上高から計算する。

例えば、売上高1,000億円のA社があるとする。

一般社団法人日本情報システム・ユーザ協会(JUAS)の調査によると、金融業界のIT 予算(19年度)はトリム平均で売上高の1.28%となっている。

まず、ここから適切なIT予算を試算する。

1,000億円x1.28%=12.8億円

次に、このIT予算からセキュリティ対策の原資を試算する。

JUASの調査によると、 IT 予算中の情報セキュリティ関連費用割合は、15%以上と 5%未満の高低 2 極に分かれる傾向にあるので、15%のケースと、平均して10%のケースで試算してみる。

15%のケース:12.8億x15%=1.92億円

10%のケース:12.8億x15%=1.3億円

これで、セキュリティ対策の原資が出せたので、「やるべきこと」の優先順位を踏まえて対策の予算化を行う。

これは、IT予算からの算出アプローチだが、同様に売上高に占めるJ-SOX対応やIFRS対応のコストと比較しながらセキュリティ対策の原資試算を行ってみてもいいかもしれない。

【参考】
企業IT動向調査報告書2020一般社団法人日本情報システム・ユーザ協会(JUAS)

セキュリティ対策の基本はシステムの運用管理徹底にアリ!?


2020年7月までに国内外の複数のドメイン名が「Subdomain Takeover」とみられる影響を受け、当該サイトに接続した利用者が詐欺サイトに誘導される事象が発生している。

自分も調べてみたところ、日本〇〇〇産業のサブドメインがことごとく詐欺サイトに転送される様を目の当たりにした。

今回の件、正解かどうかは置いておいて、自分の中では↓の様に一旦理解した。


情報セキュリティには3つの脅威があるといわれている。

■技術的脅威
プログラムが介在するもの。

・マルウェア
・フィッシング詐欺
・標的型メール
・クロスサイトスクリプティング
・バッファオーバーフロー攻撃
・Dos攻撃
・ポートスキャン
・ゼロデイ攻撃
・総当たり攻撃、etc

■人的脅威
直接 人が関わるもの。

・操作ミスによるデータ消失
・外部にパソコンやUSBメモリーを持ち出して紛失
・内部関係者による意図のあるデータ抜き取り
・メール誤送信による情報漏洩
・パソコンや記憶機器などの盗難

■物理的脅威
物理的に破損したり妨害されたりするもの。

・地震
・洪水
・火災、etc

すべての脅威は大体この中に当てはまるという。

で、今回の「Subdomain Takeover」は何に当たるか?

個人的な見解は「人的脅威」である。

今回は役目を終えたDNSのCNAMEレコードを消さずに放置するという、事業会社のITシステムの管理責任の怠慢である。

cloudapp[.]netの名前が出たが、これはあくまで事件の舞台の話であり、最終責任は利用する企業の側にある。

事業会社が契約しているクラウドの設定を誤って自社の機密情報を露出させるのと同じレベルである。

個人的にはこういったITシステムの管理がだらしない会社は実名公表していったほうが、長期的にはIT部門のためになると思うのだが。。。

【参考】
https://piyolog.hatenadiary.jp/entry/2020/07/08/025056
https://blog.shibayan.jp/entry/20200707/1594111967
https://twitter.com/hdais/status/1280355564208353282
https://www.pc-master.jp/security/kyoi.html

【転載】Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた

Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた:

2020年7月までに国内外の複数のドメイン名が「Subdomain Takeover」とみられる影響を受け、当該サイトに接続した利用者が詐欺サイトに誘導される事象が発生しています。ここではこの事象に関連する情報をまとめます。

何が起きてるの?

f:id:piyokango:20200708011658p:plain誘導される詐欺サイトの一例

  • 大手組織を含む複数のドメイン名において、検索サイトから接続した際に詐欺サイトへ遷移させる事象が発生していた。
  • 各組織管理のサーバーやレジストラ、CDNサービスが直接被害を受けたのではなく、Subdomain Takeoverと呼称される手法により過去使用されていたドメイン名が狙われたとみられる。

どう対応すればよい?


  • 不要なCNAMEレコードを削除する。

影響範囲は?

  • 正確な被害状況は把握していないが、複数の国内外のドメイン名が影響を受けており、検索にかかるものだけでも100件以上をpiyokangoは確認(2020年7月7日時点)。既に対応されたものを含め、日本の上場企業のドメイン名でも今回の被害を確認している。
  • 影響を受けたドメイン名においてサブドメインに使用される文字列から、開発(dev)やテスト(test)、デモ(demo)等の一時的な利用目的だった可能性がある。
f:id:piyokango:20200708012045p:plain影響を受けたドメイン名は「近日公開」とトップページに掲載されていたf:id:piyokango:20200708023525p:plain同じ構成のページが検索に複数表示される状況

自組織が影響を受けた(受ける)か確認するには?

  1. 自組織のドメイン名において、CDN等の外部のサービス(今回のケースではMicrosoft Azureが確認されている)を定義したCNAMEレコードが存在するかを確認する。
  2. 該当のCNAMEレコードが存在する場合、定義されたサービスが正常に稼働しているかを確認する。

Subdomain Takeoverって何?

f:id:piyokango:20200708021053p:plain今回確認されたSubdomain Takeoverのケース

  • Not foundとなったCNAMEレコードを対象に、自組織で管理するサブドメインが被害に遭う攻撃手法。
  • CDN等の外部サービスが定義されたCNAMEレコードにおいて、定義先のサービスを終了したにもかかわらずCNAMEレコードがそのままとなっている、かつ外部サービス側で使用されるドメイン名に第三者が任意のサブドメインを指定でき所有確認等が行われない場合、影響を受ける可能性がある。*1
【Subdomain Takeover】
①Webサイトを立ち上げ(一般的な運用)
- CDNを契約
- CDNへのCNAMEを、自分のドメイン名に設定

②Webサイトを終了
- CDNを終了
(この時点でCNAMEの参照先が削除、Not foundに)
- CDNへのCNAMEはそのまま
(削除の必要があると思ってない or 削除忘れ)

この状態で、
— Yasuhiro Morishita (@OrangeMorishita) 2020年7月7日
(承前)
③悪意を持つ第三者が、この状態のドメイン名を発見
- この状態のドメイン名は、Subdomain Takeoverに対して脆弱
④悪意を持つ第三者が、一般客として同じCDNを契約
- CNAMEの参照先と同じドメイン名のWebサイトを、CDN上に作成

→ Subdomain Takeoverが成立
— Yasuhiro Morishita (@OrangeMorishita) 2020年7月7日

確認されている被害は?

  • 被害を受けたドメイン名の解決先が攻撃者が設置したAzure上のサーバーとなり、検索サイトから接続した場合、このサーバーよりリダイレクトされ最終的に詐欺サイトへ誘導される。
  • 攻撃者のサーバー上には検索サイトに表示されることを目的にしたと推定される無数のランディングページが存在している。トップページにはsitemap.xmlが設置されており、ある被害を受けたドメイン名配下のsitemap.xmlでは3万件以上のURLが掲載されていた。
f:id:piyokango:20200708020807p:plain大量のランディングページが存在か

関連情報

  • Subdomain Takeoverの影響は第三者にWebサイトが設置されるというだけでなく、稼働するサービスに影響が及ぶ可能性もある。最近では2020年4月に修正されたMicrosoft Teamsのアカウントハイジャックの脆弱性が有名。www.cyberark.com
  • 以下の方の情報を参考にさせていただきました。
MS Azure Cloud Services のデフォルトドメイン cloudapp[.]net にCNAMEが向いている大量のWebサイトが改ざんされているようです。
Googleでの検索結果には何れも星評価が付いています。
(1/N) pic.twitter.com/5kDUZTGPg2
— tike (@tiketiketikeke) 2020年7月6日




diary.shift-js.info

更新履歴

  • 2020年7月8日 AM 新規作成

ノーモア〇〇〇〇


「ノーモア....」と聞いて、後続の言葉として何が思い浮かぶだろうか?

恐らく、圧倒的に多いのは「ノーモア映画泥棒」だと思う。

また、セキュリティ業界の多くの方は「ノーモアランサム」を連想される方もいるかもしれない。

んで、今日のテーマは「ノーモアコンサル」である。

自分は事業会社サイド(=ユーザー企業)のITに長く携わってきたが、ガートナーの長谷島さんの本「変革せよ!IT部門」は結構納得させられることが多い。

ユーザー企業のIT担当の価値とは何だろうか?

それは自社に最適なITシステムを導入し、そのシステムのマネジメントを通じて自社の利益に貢献(又はリスクの最小化に貢献)することである。

当然ITシステムの導入に際しては自社単体では難しいので、ITベンダーを活用する。

ユーザー企業におけるIT担当の価値は、ここでITベンダーの意見を鵜呑みにせず、自分自身の考えるあるべき姿や、自社にとってのベストプラクティスは何かを考え、ITベンダーやコンサルをマネージすることである。

そして導入~運用フェーズに向けてはドキュメント化を進め、内製化を行い、ランニングコストの最適化を図る。

また、自社のIT戦略策定についても最初は自社単体では厳しいため、コンサルを活用する。

しかし、コンサルに丸投げで後はヨロシクでは駄目である。コンサルがまとめたものは所詮はコンサルがまとめたものであり、それを踏まえて、自社のITシステム担当が最後は責任をもって作り上げるのである。

可能であれば、コンサルに任せた戦略策定のプロセスそのものも吸収して内製化し、次回の戦略策定からは自社で実施するというのもありかもしれない。

自分はこれがユーザー企業におけるIT部門の価値だと思う。

これを怠り、ITベンダーやコンサルに丸投げを続けて自身の価値を落としていくと、↓みたいな結果を招く。

ソニー、社内IT業務をアクセンチュアに委託

ITベンダーやコンサルは適材適所で使用するのは全く構わないが、過度に依存しすぎるのはまずい。

長谷島さんも本に書いているが、間違ってもよいので、自分たちで考えることが重要である。


出典:変革せよ!IT部門

【転載】新しい Behave! 拡張機能は、ウェブサイトのポートスキャン、ローカル攻撃について警告します。

新しい振る舞い!拡張は、ウェブサイトのポートスキャン、ローカル攻撃を警告します:

Internal

振る舞うという新しいブラウザ拡張機能!Web サイトがスクリプトを使用して、ネットワーク上のローカルおよびプライベート IP アドレスに対してスキャンや攻撃を実行している場合は、警告が表示されます。

Web を参照する際、Web ページに埋め込まれたスクリプトを使用して、訪問者のコンピュータを開いている TCP ポートをポート スキャンするだけでなく、ネットワーク上の他のデバイスへの攻撃を開始することもできます。

5月には、eBay、シティバンク、TDバンクなどの有名なサイトが訪問者のコンピュータをポートスキャンして、その上で実行されているWindowsリモートアクセスプログラムを識別することが判明しました。

eBay port scanning a site eBay ポートスキャンサイト

ソース: ブリーピングコンピュータ
このポートスキャンは、サイトを使用しようとしている潜在的にハッキングされたコンピュータを検出するために使用される詐欺防止スクリプトによって行われました。

正当な理由で行われている間、ポートスキャンされているユーザーは、侵入的でプライバシー侵害を見つけます。

さらに悪いことに、悪意のあるアクターは、Web サイトに埋め込まれた JavaScript を使用して DNS 再バインド攻撃を実行します。

DNS 再バインド攻撃は、DNS 解決が短い TTL を介して操作され、被害者のコンピュータを使用して同じ発信元ポリシー (SOP) をバイパスし、内部ネットワーク上の他のデバイスに対する攻撃を開始する場所です。

これらの攻撃は、ルータ、IoT デバイス、および  脆弱なソフトウェアを実行することが知られている他の内部コンピュータに対して使用される一般的な です。

行きの行き見を入力してください!ブラウザ拡張機能

ステファノ・ディ・パオラ、共同創設者、CTO、マインドセキュリティのチーフサイエンティスト、ベベ動作によって作成されました!ブラウザ拡張機能は、訪問者のコンピュータ上でローカル攻撃やスキャンを実行するためにブラウザ機能を悪用するWebサイトのユーザーに警告する実験として生まれました

「振る舞う!これらの機能の一部を乱用する可能性のある Web ページの動作に関する概念的な実験として生まれました。これからも、意識を高めるのに役立つ長期的なプロジェクトになるかもしれない」と語った。

「例えば、ローカルポートスキャン、クロスプロトコル攻撃、DNS再バインドは、Webエコシステムのコア機能を乱用しているため、ブラウザベンダーによってまだ可能であり、完全に「修正」することは困難な非常に古い攻撃です。

インストールすると、振る舞う!次のブロックに属する IP アドレスにアクセスしようとするスクリプトを監視します。

  • ループバック アドレス IPv4  127.0.0.1/8
  • ループバック アドレス IPv6  ::1/128
  • プライベート ネットワーク IPv4  10.0.0.0/8    172.16.0.0/12  -  192.168.0.0/16
  • 一意のローカル アドレス IPv6  fc00::/7
検出された場合、拡張機能のアイコンには赤いインジケータが表示され、クリックするとサイトによって実行されたアクティビティが一覧表示されます。

Behave! warning of port scans from eBay 動作!eBay からのポートスキャンの警告
拡張機能は、動作が検出されたときにブラウザー通知を表示するように構成することもできます。

Browser notification ブラウザ通知
拡張機能のバグが DNS 再バインドアラートで誤検出を引き起こす可能性があり、ディ Paola は修正に取り組んでいます。

行き振る舞い!拡張機能は、クロムとFirefoxの両方のために利用可能であり、ディパオラは、彼がエッジとサファリのためにそれをリリースしたいと私たちに言いました。

将来追加したいと考えている機能には、「ローカル接続を実行すると予想されるホワイトリストのウェブページ/ホスト名」や「不審なアクションを実行するコードを追跡する」機能などがあります。

あなたが訪問するウェブサイトからの潜在的に虐待的な行動について警告されることに興味がある人のために、振る舞ってください!インストールする興味深い拡張機能です。



ー以下原文ー

Internal
A new browser extension called Behave! will warn you if a web site is using scripts to perform scans or attacks on local and private IP addresses on your network.
When browsing the web, scripts embedded on web pages can be used to not only port scan a visitor's computer for open TCP ports, but also initiate attacks on other devices on your network.
In May, it was discovered that well-known sites such as eBay, Citibank, TD Bank, and more would port scan a visitor's computer to identify Windows remote access programs running on it.
eBay port scanning a siteeBay port scanning a site
Source: BleepingComputer
This port scanning was conducted by the LexisNexis' ThreatMetrix fraud protection script used to detect potentially hacked computers trying to use the site.
While done for good reasons, users who are being port scanned rightfully find them intrusive and a privacy violation.
Even worse, malicious actors will also use JavaScript embedded on web sites to perform DNS Rebinding attacks.
DNS Rebinding attacks are where the DNS resolution is manipulated through short TTLs to use a victims' computer to bypass Same Origin Policy (SOP) and launch attacks against other devices on an internal network.
These attacks are commonly used against routers, IoT devices, and even other internal computers known to run vulnerable software.

Enter the Behave! browser extension

Created by Stefano Di Paola, co-founder, CTO, and Chief Scientist of MindedSecurity, the Behave! browser extension was born as an experiment to warn users of web sites that abuse browser features to perform local attacks or scans on a visitor's computer
"Behave! was born as a conceptual experiment around the behavior of web pages that might abuse some of those features, and if the interest on Behave! keeps raising, it might hopefully be a long lasting project to help raising awareness."
"For example local Port Scan, Cross Protocol attacks, DNS rebinding are very old attacks that are still possible and difficult to completely "fix" by browser vendors because they abuse core features of the Web ecosystem,"  Di Paola told BleepingComputer via email.
When installed, Behave! will monitor for scripts that attempt to access IP addresses belonging to the following blocks:
  • Loopback addresses IPv4 127.0.0.1/8
  • Loopback addresses IPv6 ::1/128
  • Private Networks IPv4 10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16
  • Unique Local Addresses IPv6 fc00::/7
If detected, the extension's icon will show a red indicator, and when clicked on, will list the activity conducted by the site.
Behave! warning of port scans from eBayBehave! warning of port scans from eBay
The extension can also be configured to show browser notifications when concerning behavior is detected.
Browser notificationBrowser notification
It should be noted that a bug in the extension may cause false positives on the DNS Rebinding alerts, and Di Paola is working on a fix.
The Behave! extension is available for both Chrome and Firefox, and Di Paola has told us that he hopes to release it for Edge and Safari.
Some features that Di Paola hopes to add in the future include "white listing web pages/hostnames that are expected to perform local connections" and the ability to "track back the code performing the suspicious actions."
For those interested in being warned about potentially abusive behavior from web sites you visit, Behave! is an interesting extension to install.

【転載】経済産業省、企業に対するサイバー攻撃の特徴や今後の対策を発表

経済産業省、企業に対するサイバー攻撃の特徴や今後の対策を発表:



経済産業省は6月12日、昨今のサイバー攻撃の特徴や具体的事例と共に、今後の取り組みの方向性をまとめた報告書を発表した。
同報告書では、大企業から中小企業まで、サプライチェーン(製品を作る最初の段階から消費者に届くまでの流れ)の弱点を狙ったサイバー攻撃が日々高度化しており、サプライチェーン全体のサイバーセキュリティ対策を継続的に点検していくことがますます重要になっているとしている。 三菱やNECなど防衛省と取引のある大企業が高度なサイバー攻撃を受けたことが相次いで明らかになったほか、大手輸送機器メーカーであるホンダもサイバー攻撃の被害にあっている。 その他にもサイバー攻撃で企業情報が流出した可能性がある事例も続いているのが現状である。


このような状況を受け経済産業省は機微情報を保有する企業に対して、各社のセキュリティ対策の点検やサイバー攻撃によって重要な情報の漏えいがあった場合には、2月14日まで経済産業省に報告などをするよう求めた。結果、40件弱の報告があったが、重要な情報が漏えいした事例はなかったという。
中小企業に対しては、2019年度に「サイバーセキュリティお助け隊実証事業」を立ち上げ、サイバー攻撃発生後の初動対応を支援した。この事業には中小企業1,064社が参加し、中小企業に対するサイバー攻撃の実態が明らかになった。 さらに、サプライチェーン全体のセキュリティを確保するために企業が取るべき行動として「重要なサプライチェーンを共有する企業間での高密度な情報共有」「軍事転用の可能性のある技術情報の流出時の経済産業省への報告」「適切な場合でのサイバー事案の公表」を示している。


経済産業省では、今後このような取り組みの方向性に基づき、産業界の関係者との調整を強化すると共に、具体的な取り組みの内容について検討し、サイバーセキュリティ対策の推進運動へと繋げていきたいとしている。
【関連リンク】 ・昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性についての報告書を取りまとめました(経済産業省)

https://www.meti.go.jp/press/2020/06/20200612004/20200612004.html


TEXT:セキュリティ通信 編集部

バックアップ

【転載】「カメラのキタムラ」に不正アクセス 顧客情報40万件流出か

「カメラのキタムラ」に不正アクセス 顧客情報40万件流出か:



写真現像やカメラなどの販売、買取などを行うカメラのキタムラで知られる株式会社キタムラは6月15日、同社が運営する公式通販サイト「カメラのキタムラネットショップ」で外部から不正アクセスがあり、第三者に顧客の個人情報が閲覧された可能性があることを明らかにした。
サイトでは二段階認証や多要素認証などの不正アクセス防止策は講じられていなかったという。 閲覧された可能性があるのは、顧客の氏名や届け先住所、生年月日、電話番号、性別、メールアドレス、利用店舗、注文履歴、保有Tポイント残高など40万件ほどの個人情報。なお、同社では顧客のクレジットカード情報は保持していないとしている。


同社によると不正アクセスは4月4日から5月27日にかけて国外の複数のIPアドレスから顧客のメールアドレスとパスワードを利用し、会員になりすましてログインする不正アクセスが相次いで発生したとのこと。判明したのは5月28日で、その後も不正アクセスは継続して確認している。
不正アクセスに利用されたメールアドレスとパスワードは、同社とは関係しない外部で不正に入手したものをリスト化したもの。それを用いた「リスト型攻撃」で顧客アカウントへ不正ログインしたとみられる。 キタムラは被害にあった顧客に対して、ログインパスワードを初期化したうえで、注意喚起とパスワードの再設定を促すメールを送った。また、引き続き特定のIPアドレスから不正アクセスがないか監視を強化しているという。


同社では、複数のサービスでのパスワードの使い回しを避けるよう呼びかけると共に「本件を厳粛に受け止め、外部の有識者の助言を踏まえ、更なるセキュリティレベルの向上策を講じ、再発防止に努めていく」としている。
TEXT:セキュリティ通信 編集部