「リスト型攻撃が原因」「二段階認証なら安全」は本当か？：セキュリティクラスタ まとめのまとめ 2019年7月版（3/3 ページ）

2019年7月のセキュリティクラスタは、「7pay」が大きな話題となりました。スタートしてすぐに攻撃され、登録者のカード情報が悪用され、あっという間にサービスは中止。その短い間にたくさんのセキュリティ問題が見つかり、「二段階認証」が流行語となりました。そして、「クロネコメンバーズ」も攻撃を受けて、こちらも中途半端な「二段階認証」が話題となる事態に。

[山本洋介山（メルカリ），＠IT]

クロネコメンバーズが不正アクセスを受けて個人情報が3000件以上漏えい

　クロネコヤマトの配送状況などが分かるWebサイト「クロネコメンバーズ」に、7月22日と23日に不正アクセスがあり、個人情報が3000件以上漏えいしたことが明らかになります。不正アクセスされたユーザーは次回ログインの際にパスワード変更が必要になるそうです。

　これに対しては7payと同様に「リスト型攻撃が行われた」とクロネコヤマトが発表しています。リスト型攻撃はユーザーがパスワードを使い回していることが主な原因であるため、「クロネコメンバーズを責めるのはよくない」という意見が多数でしたが、一般的なパスワードリスト攻撃よりも成功率が高いことを気にしている人もいました。

　また、リスト型攻撃でログインに成功された後でもアカウントを乗っ取られないようにすることが可能となる「二段階認証」も設定できることから、「クロネコを責めるのは酷だ」という意見が多くなっていたのですが、「クロネコメンバーズ」の二段階認証の詳しい中身が知られるに従ってTLの様子が変わっていきます。

　クロネコメンバーズの二段階認証を設定しても、PCサイトのログインのみでワンタイムパスワードが送信され、スマホサイトからのログインではワンタイムパスワードが送信されないというのです。

　これに対して、「二段階認証を設定できるだけで、やっても裏口があるのは意味がない」ということで「無駄だ」とたたかれることになりました。

　それに対して、「本当に悪いのはパスワードを漏らしたサービスだ」というツイートもありました。

---

　この他にも7月のセキュリティクラスタはこのような話題で盛り上がっていました。8月はどのようなことが起きるのでしょうね。

• ビットポイント、約35億円分の仮想通貨が不正流出
• Slackで過去の不正アクセスによるパスワードリセットが行われる
• 日本のセキュリティエンジニアは、みんなお互い仲が悪い!?
• 詐欺師がメールアドレスで正体を現している!?

著者プロフィール

山本洋介山（株式会社メルカリ）

Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。