「TOEIC」申込サイトが不正ログインの被害

一般財団法人・国際ビジネスコミュニケーション協会が運営する「TOEIC申込サイト」に利用者のID・パスワードを用いた、第三者による不正アクセスが発生したことを公表しました。

公表された内容には「当協会以外のサービスから入手したユーザーID・パスワードを用いた、第三者による不正アクセスが発生したこと」とあり、攻撃者が不正に入手したID・パスワードのリストを用いて、一般ユーザーと同じ経路で不正アクセスを試みる「パスワードリスト攻撃」であったと推測されます。

情報流出
利用者のアカウントや氏名等を含めた個人情報(対象件数は不明)
要因
第三者による不正アクセス

被害企業概要

所在地
東京都千代田区永田町2-14-2 山王グランドビル
事業内容
TOEICR Program、出版・ラーニング、グローバル人材育成プログラム
職員数
230名

実施しておきたい対策

自動プログラム検知サービスの導入
Cloudflare(クラウドフレア)「ボット管理サービス」の導入

被害事例では、不正ログインに正規のID・パスワードが利用された可能性があり、複数回ログインを試行する「総当たり攻撃」と比べてログイン試行回数が少なく、一般利用者と同じ正しい経路でアクセスするため、脆弱性を狙った通信をブロックするWAF(ウェブ・アプリケーション・ファイアウォール)等では検知が困難です。

この攻撃を抑制する手段に、Cloudflare(クラウドフレア)社が提供する「Cloudflareのボット マネージメント」サービスがあります。
インターネット通信の約20%を担うクラウドフレアの通信網は、1日あたり数千億件のリクエストを処理します。同ツールは、通信の行動分析、機械学習等、複数の検出手段を駆使して、対象となる通信の悪意度合いを数値化。一定値を超える通信はブロック、または「CAPTCHA(人によるアクセスであることを確認するための画面を表示)」を実施します。
正規のID・パスワードが利用されたログインであっても、自動プログラムによる操作であった場合、同ツールによりアクセスは拒否され、利用者の情報は守られます。

二要素認証の導入
利用者の利便性低下やシステム改修のコストが伴うため、慎重に検討する必要がありますが、ログインパスワードの入力に加えてメール送信を行い、ワンタイムパスワードを送信、入力させるセキュリティ対策も被害の抑制に繋がります。
利用者への注意喚起

他サイトのログインパスワードを使い回さないよう、全利用者へ注意喚起を行うことも、運営組織にとって重要な対策になります。

Case Study
その他のサイバー攻撃 被害事例