事故から学ぶ

LINEにPWリスト攻撃 – 2段階認証未適用の問合フォームが標的に 

事故概要

業種 LINE
発生時期 2020/10/3-2021/1/19
漏えい人数 3035
事故概要

LINEは、2段階認証が適用されていない問い合わせフォームがパスワードリスト攻撃を受けて一部ユーザーがログインされ、電話番号やユーザー識別子などを取得された可能性があることを明らかにした。
同社が用意した問い合わせフォームに対して2020年10月3日より不正ログインの試行を受けていたもの。2021年1月19日に試行を検知した。
攻撃を受けた問い合わせフォームは、2段階認証が適用されておらず、IDとして利用するメールアドレスとパスワードだけでログインできる状態で、攻撃を通じて3035件のユーザーがログインを許した可能性がある。2888件が国内のユーザーで、「台湾(21件)」や「タイ(3件)」のほか、123件の国外ユーザーなども被害にあった。
ログインを許した場合、IDやパスワードの有効性を把握された可能性があるほか、HTMLフォーム内に電話番号、ユーザー識別子が埋め込まれる仕様だったため、これら情報も窃取された可能性がある。
同社は、不正ログインを受けた可能性があるユーザーに対してパスワードの初期化を実施。被害など確認した場合は同社まで連絡するよう注意を喚起した。問題の問い合わせフォームについては、フォーム内にユーザー情報を埋め込まない仕様へと変更。2月8日11時ごろより2段階認証の適用を開始している。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置
(第22条)委託先の監督 社内規則の整備(自社運用・外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?
委託先に保管管理依頼している情報機器の盗難、紛失防止の点検と棚卸を実施していますか?
情報機器の処分時は、事業者自らデータ消去を確認してから業者に引き渡していますか?

■ 推奨対策

対策:

マルウェア検査サイトを経由した個人情報漏えい事故が報告されている。マルウェア検査をしただけのつもりが、個人情報漏えいにつながってしまった。
本件で対象となっているマルウェア検査サイトは、そもそもの仕様として検査したファイルを検体として共有する機能を持っていた。
個人情報を含んだファイルを検査したことでそのファイルが会員企業などに共有され、漏えいとなってしまった。
利用するサービスの性質を理解した上で活用していかなくてはならない

具体例:

委託先管理に含まれるのがクラウドサービスである。
クラウトサービス利用時に注意書きを最後まできちんと読むことなく利用を開始したため、想定外の情報共有や公開の設定をしてしまうことがある。
不慣れで引き起こした漏えい事故でも個人情報漏えいに変わりはない。利用前に口コミサイトなどで先人のミスや注意を他山の石として取り込むことである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。