目次

  1. サンドラッグとは
  2. 不正アクセスの状況
  3. リスト型攻撃とは
  4. リスト型攻撃を予防する対策
    1. ID・パスワードの使い回しに関する注意喚起の実施
    2. パスワードの有効期間設定
    3. パスワードの履歴の保存
    4. 二要素認証の導入
    5. ID・パスワードの適切な保存
    6. 休眠アカウントの廃止
    7. 推測が容易なパスワードの利用拒否
  5. リスト型攻撃による被害の拡大を防ぐ対策
    1. アカウントロックアウト
    2. 特定のIPアドレスからの通信の遮断
    3. 普段とは異なるIPアドレスからの通信の遮断
    4. ログイン履歴の表示

 ドラッグストアチェーン経営のサンドラッグは、公式サイトによると、1965年設立。2022年3月末時点で、直営748店舗、フランチャイズ64店舗で展開しており、実店舗だけでなく、ECサイトにも力を入れています。

 従業員数はパート・アルバイトを含めると7450人に上ります。

 7月9~11日に海外からの不正アクセスが確認されたのは、「サンドラッグe-shop本店」と「サンドラッグお客様サイト」のECサイトです。システム委託会社からの報告により発覚しました。

 不正アクセスにより、最大1万9057件の会員情報が閲覧された可能性があるといいます。閲覧された可能性がある会員情報は次の通りです。

  • 氏名
  • 住所
  • 電話番号
  • メールアドレス
  • パスワード
  • 生年月日
  • 購入履歴など
  • クレジットカード情報は、カード番号頭6桁と下2桁のみ

 不正アクセスの原因について、「他社サービスから流出した可能性のあるユーザーID・パスワードを利用したリスト型アカウントハッキング(リスト型攻撃)の手法で行われていると推測されます」と説明しています。

 サンドラッグやシステム委託会社の解析では、海外から短時間に膨大なIDとパスワードでログインしようとする不正アクセスが確認されたといいます。すでに不正なIPアドレスからのアクセスは遮断し、セキュリティ対策を講じたといいます。

 リスト型攻撃とは、特定のサービスサイトで、あらかじめ盗み出したIDとパスワードで不正にログインする手法で、複数のサービスでIDとパスワードを使い回す行動を狙った攻撃といえます。

 総務省の公式サイトは、リスト型攻撃への対策を次のように紹介しています。

 サービスごとに異なるID・パスワードを設定するよう利用者に注意喚起する。

 パスワードに有効期限を設定し、利用者に定期的に変更させる

 数世代前に使用したパスワードへの変更を認めないようにする。

 ID・パスワード以外の認証要素(ワンタイムパスワードなど)を追加する。

 サービス運営事業者において暗号化等ID・パスワードの適切な保存を行う。

 長期間利用実績の無いアカウントをデータも含めて削除する。

 パスワード・ポリシーを定め、推測が容易なパスワードの利用を拒否する。

 同一のIDに対して一定の閾値以上の認証エラーが発生した際にアカウントを一時停止する。

 特定のIPアドレスから閾値以上のログイン要求が発生した際に、当該IPアドレスからの通信を遮断する。

 通常ログインされているIPアドレスとは大きく異なるIPアドレスからのログイン要求が発生した際に、当該IPアドレスからの通信を遮断する。

 ログイン履歴を保存し、利用者がアカウントの利用実績を認識できるように設定する。