クロネコヤマトのサイトでパスワードリスト攻撃による情報漏えいがあったことが発表されました。
クロネコメンバーズにおける不正ログインについて
内容は不正ログインが3,467件、住所・氏名・電話番号などの情報が不正に取得された可能性があり、対象者へは個別に連絡して云々ということなのですが、実はクロネコヤマトのサイトでは2015年から二段階認証のしくみを設けており、それが今回の件でスマホサイトからはスルー可能な全くのお飾りであることが同時に判明しました。
私自身もクロネコヤマト会員であるので、早速試してみました。
①クロネコヤマトサイトへログイン
ログインサイトからID/Passを入力してログインすると、トップページにパスワード変更を促す警告文とともに、二段階認証設定の案内が表示されています。
二段階認証設定をクリックして次へ進みます。
②二段階認証を設定
すると、二段階認証の説明と、設定する/設定しないのラジオボタンの選択がありますので、設定するを選んで次へをクリックします。
③確定して一旦ログアウトする。
設定内容が"設定する"になっているのを確認して確定ボタンを押し、一旦クロネコヤマトのサイトからログアウトします。
④再度クロネコヤマトのサイトへログインする
再度クロネコヤマトのサイトでID/Passを入力してログインすると、今度はワンタイムパスワード入力画面になります。
登録したメールアドレスにワンタイムパスワード(数字6桁)が送られてきますので、それをコピペして入力、端末登録では”信頼できる端末として登録します。"を選択してログインボタンをクリック。
すると、いつものクロネコメンバーズの画面に無事入ることができました。
⑤スマホサイトからのログイン
さてここからが本題です。
無事2段階認証の設定を終え、PC端末が登録されました。ここで端末登録がされていないスマホからクロネコヤマトのサイトにログインします。
スマホのブラウザからサイトを呼び出し、ID/Passを入力してログインボタンをタップ。
すると・・・・
はい、2段階認証など何ら問われることなく、ID/Passだけでログインできました。これではPCでいくら2段階認証設定しても、攻撃者はスマホサイトを使えば華麗にスルーできてしまいますね。
まとめ
7Payの不正利用事件では、記者会見に応じた社長が記者からの問いかけに対して「2段階認証??」とまるで2段階認証というワードを知らないかのような反応をしたために、にわかに2段階認証をしていなかったのが問題の本質だったかのような扱いとなり、急遽7Payに2段階認証が実装される運びとなりました。
しかしながら、セキュリティにおいては穴が1つでも開いていたら、2段階認証をしていようが生体認証をしていようが全く意味がありません。
今回のクロネコヤマトの件では、2段階認証がオプション扱いであり、利用しているユーザーも少なかったからか、あまりこの件は大きく報道されていませんが、1つでも不備があれば他の備えは全く無駄になるという良い例だったのではないでしょうか。