普段からニュースサイトとして利用している日経メディカルより会員登録情報が不正アクセスの被害に遭ったとの連絡がメールで来ました。
会員登録情報が流出し、一部の会員登録情報が書き換えられる被害
日経メディカルの発表によると2022年6月28日以降に海外からサイバー攻撃があり、4000件以上の会員登録情報の一部が盗まれた可能性があるとのこと。
また一部の会員登録情報が書き換えられるという被害も確認されているとのこと。被害拡大を防ぐために電子ギフトコードの表示画面を停止し、登録変更画面なども停止する対応をしているとのこと。電子ギフトコードの不正利用が確認された場合には補償も検討されているそうです。
日経メディカル側の対応として、1. サイトの一時停止 2. 全会員のパスワードを初期化を2022年7月3日に実施。さらに半角英数10文字以上64文字以下で英大文字・英小文字・数字をそれぞれ1文字以上含むようにパスワードポリシーを強化したとのこと。
実際にログインしてみるとパスワードを変更しないとログインができないようになっていました。またログイン後に「登録者情報変更」、「メールアドレス変更」、「ポイント交換」のページにアクセスすると2022年7月15日現在でもメンテナンス中のためアクセスできませんでした。

今後考えられる二次被害
ログインのメールアドレスとパスワードの組み合わせを全く同じにして他のサイトでアカウント登録をしている場合には攻撃によりメールアドレスとパスワードの組み合わせが流出している可能性があるのでログインされてしまう可能性があります。これをパスワードリスト型攻撃と言います。
サイトによってはログインされ、他人に商品を購入されてしまうなどの金銭的被害が発生する可能性もあります。
今回日経メディカル側は利用者にパスワードを強制的に変更するような措置をとっていますが既に流出してしまっているので他のサイトで同じログインメールアドレスとパスワードを使いまわしている場合には手遅れです。
被害を防ぐには他の使いまわしているサイトでもパスワードを変更する必要があります。
パスワードを人間が管理するのは現実的ではない
アカウント登録を求めるサイトはたくさんあります。パスワードをそれぞれ別個に設定しそれを人間の記憶力に頼るのは現実的ではありません。人間はそんなにたくさんの数のパスワードを覚えられないし、「何らかの意味」を持たない文字・数字・記号の羅列を覚えるのはものすごい苦手です。
その人間の弱点につけ込んだ攻撃がパスワードリスト型攻撃です。
パスワード管理ソフトや2段階認証・2要素認証を導入する
一般的なパスワード管理ソフトであれば、パスワードをランダムで作成してくれます。サイトによっては記号が使えなかったり、パスワードの文字数が短かったり長かったりと違いがあるので作成するパスワードに記号を入れるのかなどを設定して作成することが可能です。
パスワード管理ソフトを使用すれば各サイトで別個のパスワードを簡単に使用することができます。私はパスワード管理ソフトとして1passwordを使用していますが、これなしでパスワードを別個に設定し、さらにパスワードの文字の羅列に意味を持たないランダムなパスワードを作成することは不可能です。パスワードの文字列に意味があるフレーズを使用してしまうと今度は辞書攻撃と言って辞書や人名などを基にパスワードを推測してログインを試みる攻撃が成功しやすくなってしまいますのでパスワードは完全にランダムなものを使用した方がいいです。
ログインする際にあらかじめ登録したメールアドレスや電話番号宛に数分間有効なパスワードを発行してその入力を求めるのが2要素認証と言われるものです。
Googleなど大手のサイトではほとんど採用されているセキュリティ対策ですが、サイト側での対応が必要となるため全てのサービスで利用できるわけではありません。2要素認証を採用していないサイトでは使用できず、対応していないサイトの方が圧倒的に多いため利用者側でパスワード管理ソフトを使用することが現実的な対応です。
医療従事者向けサイトだからこそ利用者の情報に価値がある
今回被害に遭ったのは医療従事者向けのサイトです。登録している方の多くは医師・看護師・薬剤師などの資格を持っている人やその学生の人が多いと思います。
ちなみに医師の登録アカウント数は20万件あるそうで、これは実際に医師として活動している人数の半分になると日経メディカルの会員登録ページでは宣伝しています。

日経メディカルでは登録する際に医師・薬剤師・医学生・看護職・その他医療関係者から職業選択を求められる仕組みになっています。
例えば医師で登録されているアカウントで、住所と名前が分かり、さらにその人が開業医だったといった場合は簡単に個人を特定可能かもしれません。
ただ単にアカウントとパスワードの情報が多数流出しただけであればその流出した情報の利用価値はあまり高くないかもしれませんが、そこに職業情報が加わると利用価値は上がります。
自分の身を守るためにもセキュリティ対策について正しい知識を持って普段から対策しておくことが大事だと思います。
コメント