これは不正アクセスか違うのか 判別できないサイバー攻撃への対処法

小売りチェーンが対応しにくいサイバー攻撃を受けた。顧客からのアクセスなのか、そうでないのかが分からない自動攻撃だったため、大きな混乱を招いた。

[Matt Kapko，Cybersecurity Dive]

　米国の小売チェーン企業が、2023年の上半期に5回の波状攻撃を受け、12日間にわたって情報を侵害された。

正当なアクセスか、それとも攻撃か　なぜ判別できないのか

　攻撃を受けたのは米国とカナダのショッピングモールやショッピングセンター内に600店舗以上を展開するHot Topicだ。どのような攻撃だったのだろうか。

　Hot Topicが2023年7月31日にカリフォルニア州に提出したデータ侵害通知によると（注1）、2023年2月7日から同年6月21日にかけて発生した一連の侵害は、同社のWebサイトとモバイルアプリケーションに対する自動化された「クレデンシャル・スタッフィング攻撃」だったという。

　クレデンシャル・スタッフィング攻撃では、過去のデータ漏えいで流出したユーザー名とパスワードのリストを使用して、複数のオンラインアカウントに対して自動的にログインが実行される。同じユーザー名とパスワードの組み合わせを複数のオンラインサービスで再利用する人が多いことに注目した攻撃だ。この攻撃を大量に試行することで、正しい組み合わせが見つかり、不正アクセスにつながる。

　今回の事例ではHot Topic Rewardsに関する有効な認証情報を未知の第三者から攻撃者が入手した。開示文書において、同社は「当社はこれらの攻撃で使用されたアカウント認証情報の提供元ではない」と述べた。

被害状況はいまだ不明

　Hot Topicは、攻撃者がどのような個人情報を侵害したのかを把握していない。そのため、攻撃期間中、アカウントにアクセスした全ての顧客に通知した。

　同社は次のようにコメントしている。「現時点の調査段階では、該当期間中の正当なログインと不正なログインを区別できていない」

　同社は、ボイスメールやメールによる追加情報の要求には応じなかった。2013年にHot Topicを6億ドルで買収したプライベートエクイティファームであるSycamore Partnersも問い合わせに回答しなかった（注2）。

2つの課題が絡み合っていた

　サイバーセキュリティ事業を営むExabeamのタイラー・ファラー氏（CISO《最高情報セキュリティ責任者》）は次のように述べた。

　「今回の侵害は『侵害された資格情報』と『通常の行動と異常な行動の区別』という2つの絡み合ったセキュリティ課題を浮き彫りにした」

　「有効な認証情報は過去のデータ漏えいや侵害から入手されたものであり、それを利用して機密データへのアクセス権を攻撃者が得た。このような侵害では、正当なログインと不正なログインを区別することが困難なため、影響を受けていない消費者を含む広い範囲に対する通知が必要になることがよくある」（ファラー氏）

　今回、攻撃者によってアクセスされた顧客アカウントは、氏名やメールアドレス、注文履歴、電話番号、誕生日、住所、クレジットカードやデビットカードの番号の下4桁を含む個人情報が流出した可能性がある。

　Hot Topicは報告書で次のように記した。「私たちは、この出来事を重く受け止めている。不審な活動を検知した後、当社は速やかに調査を開始し、攻撃に対処するための措置を講じた」

ユーザーができることは何か

　同社はサイバーセキュリティの専門家と連携し、追加の保護策を検討する中で、Webサイトとモバイルアプリケーションの防御を強化するためのbot対策ソフトウェアを導入した。影響を受けた可能性のある顧客には、パスワードをリセットするよう強く推奨した。

　クレデンシャル・スタッフィング攻撃に対してユーザーができることはまずリセットだ。もう一つはサービスごとに異なるパスワードを設定することだ。もし、サービス事業者が多要素認証を提供しているなら、これを有効にすることも有効な対策だ。

出典：Hot Topic hit by automated credential stuffing attack spree（Cybersecurity Dive）

注1：Re: Notice of a Data Breach（HOT TOPIC）

注2：Sycamore Partners purchases Hot Topic for $600 million（Retail Dive）