情報セキュリティ(38)　サイバー攻撃の手口⑪　リスト型攻撃

リスト型攻撃は、あるWEBサービスについて不正に入手したIDとパスワードのリストを、別のWEBサービスに投入して、不正アクセスを行う攻撃です。IDとパスワードを、複数のWEBサービスで使いまわす人が多いことから、一度アクセスに成功すると、別のサービスにもアクセスしやすくなるのです。

2019年7月に発生したセブンペイは有名な事件です。軽減税率と共に導入されるカード決済のポイント制度もにらんで、鳴り物入りで始まったサービスですが、サービス開始の翌日には被害が発見されました。約1500人、総額3200万円が被害にあい、サービス開始のわずか3か月の9月末にはサービス自体が廃止に追い込まれました。

IDとパスワードによる不正アクセスは、古典的なサイバー攻撃です。対策としては、複数要素認証があります。PCとスマホ、スマホと電話など、複数のデバイスの組み合わせでID登録をする仕組みです。IDとパスワードだけではアクセスできませんので、セキュリティレベルは格段に上がります。

セブンペイはそのような仕組みを持っていませんでした。それどころか、サービス開始前の脆弱性の確認も不十分で、セキュリティに対する認識が甘すぎたと言わざるを得ません。その結果、セブンイレブングループのデジタル戦略が大きく後退し、ブランドも棄損し、経営的にも大打撃を受けてしまいました。

サイバーセキュリティ対策がいかに重要であるかを、再認識するきっかけとなるような事件でした。