続く不正アクセス。緑の窓口の「えきねっと」が攻撃された理由とは？

令和2年になっても、不正アクセスとその被害は続きます。

今回は、緑の窓口システム、通称「えきねっと」のシステムに起こったハッキングとその被害について、お届けしようと思います。

ちなみに、プライバシーマーク（Pマーク）を取得したいと考えられるのであれば、ぜひ弊社ユーピーエフをご利用ください。Pマーク取得を全面的にバックアップいたします。

｜海外のIPからアプリでログイン試行

事件があったのは、2020年3月上旬。海外のIPアドレスを持つアプリから、えきねっとのシステムにログイン試行がなされた模様です。

えきねっとといえば、遅れがちなJR東日本のキャッシュレス化に対して、アップデートが期待されるシステムです。何が遅れているかというと、JR東日本はとにかくクレジットカードで気軽にきっぷが買えません。駅の券売機ではクレジットカードは使えませんし、一昔前までは、専用のクレジットカードで行列に並んで、ようやく新幹線のきっぷが買えるという程度の遅れ具合でした。

クレジットカードでのきっぷ購入は本当に不便です。現在でもなお、緑の窓口がしまっていたら、えきねっとでクレジットカード登録して買うしかないのですが、外国人観光客にはどうしたらいいのでしょうか？

特に、成田空港に降り立った外国の方々は悲惨な目にあうのが定番です。きっぷは現金のみ、しかもどこにも日本円に両替するポイントはない、さらに何駅まで電車に乗れば、東京につくのかわからない、まったくもって不親切で、成田空港の不便さを際立たせています。

普通、インバウンド需要をあてこむのであれば、海外の人も気軽に使えるWi-Fiと、クレジットカードで乗れる交通機関を整備するのは、ある意味当然の「おもてなし」ではないでしょうか。それなのに、まったくそのあたりを整備する気がないのか、何か事情があるのか、怠慢なのか人手不足なのか。優先順位はかなり上の方であるはずのこのキャッシュレス対応が遅れているのが、JR東日本でした。

そこで唯一といっていいほど、インターネットできっぷを購入できるのがえきねっとです。とはいっても、徐々にキャッシュレス化は進んでおり、えきねっとではクレジットカードを登録すると、いちおう新幹線のきっぷ等が買うことはできます。

そのえきねっとが、ハッキング被害にあってしまいました。繰り返しログイン試行を行う海外からのあやしいIPアドレスを検知したものの、すでに手遅れだったのです。アプリでアタックということは、ハッカー側も時間的コストをかけていますから、クレジットカードの情報まではたどり着きたいと考えているはずです。

ログイン試行するということは、IDとパスワードで何度もログインアタックをしたものと思われます。大体の人は、IDとパスワードをばらばらにしておらず、忘れないように同じにしているパターンが非常に多いですので、アプリに何らかの引数を与えて、何度もアプリからログインを試みたものと思われます。

｜3,729人分が不正アクセスの被害に

どこでハッカーグループがIDとパスワードを手に入れたのかはまだ追求を待たねばなりませんが、たいていの人はIDとパスワードを使いまわしていますから、どこかで入手したものと思われます。Amazonの激安ショップにつられるなどして、IDとパスワードのセットが流出したなどのケースが考えられます。それによって、IDとパスワードを手に入れたハッカーが不正ログインに使ったのではないでしょうか。

JR東日本の話によりますと、3,729人分のログイン試行を突破された模様です。つまり3,729人がIDとパスワードでのログインを突破されてしまったのです。そして、大多数がトップページ止まりだったものが、13人だけは、個別のマイページ情報にアクセスされてしまい、クレジットカードのページまでアクセスがなされています。

マイページの氏名・住所・電話番号・生年月日・メールアドレスなど、マイページからアクセスできる個人情報にアクセスされてしまいました。そうしたアクセスされたかどうかの情報は、アクセスログから判断できます。画面遷移のログもすべて取っているはずなので、13人分がクレジットカード等の重要な個人情報にアクセスされてしまいました。

しかし、マスキング（****で非表示にする）してあるはずですから、下4桁だけが取られたのではないでしょうか。これは重大な事態です。いくらマスキングしてあるとはいえ、個人情報ののったマイページにアクセスを許してしまい、確実に不正アクセスをされてしまったのですから。13人という数は、少ないようで非常に多いです。これからどんな被害が起こるかはわかりません。

｜ただちにパスワード変更

この場合は、えきねっとはただちにパスワード変更を行い、強制的に入れなくした模様です。おそらく、アクセスも強制的に遮断したことでしょう。多数のログイン試行にたいして、複数の不正アクセスが確認されているわけですから、迷っている暇はないのです。

こうした対応は非常にいいものと考えられます。
強制的にパスワードを変更し、アクセスを遮断していく。そうしないと、サーバ側つまりJR東日本側でシャットダウンしないことには、いつまでも不正アクセスの餌食になってしまいます。

これが遅れたのがセブンペイ（７Pay）で、ハッキングされているのにも関わらず、ネットワークを遮断しないことで大きな損害をユーザーが受けました。今回のえきねっと被害はそれほどではありませんが、やはりクレジットカードを盗み見られるのは、いい気持ちではなく、利用者に不便をかけたことを謝罪する必要がありそうです。そして実際に、謝罪となりました。

｜アプリとWebで被害が分かれた訳

アプリとWebでも被害がわかれました。Web版は被害なし、不正アクセスもアタックもありませんでしたが、アプリだけが被害にあうという憂き目にあいました。ただ、設計上、WebとアプリのIDパスワードのセットが異なるということはないのです。たいていは、WebサイトのIDとパスワードは、アプリでも共通です。分ける必要性がないからです。

今回は、それが功を奏したといいますか、不幸中の幸いで、Webのアタックはありませんでした。アプリも二段階認証をするなどの対策が必要だったのですが、実施されていなかったようです。

｜アプリもサイトも二段階認証が必須

なぜこうなったのかというと、二段階認証がないことに尽きます。二段階認証とは、IDとパスワードでログインされたら、メールやSMSが飛んで、そこに書かれた番号を入力することで二度目のログインができるという仕組みです。

これがまったく機能していないのには理由があり、おそらく国外からの利用を想定し、SMSが使えない人も使えるようにしたいという思いからではないかと想像できます。

しかし、二段階認証は、セキュリティ上非常に重要なものです。セブンペイの大失敗から学ばなければなりません。絶対に必要なのが二段階認証です。

二段階認証は、アプリとサイトの双方に設定できます。同じスマートフォンを使って、アプリにログインしようとしたらSMSが、WebサイトにログインしようとしてもSMSが飛ぶようにしたら、きっと問題はなかったはずです。

大量のSMSがユーザーのところに飛んで、不審がられるかもしれませんが、それはセキュリティが機能している証拠です。こうしたインフラ企業は、標準的なセキュリティの実装を高めると同時に、一般の人たちを啓蒙し、面倒がらずに二段階認証してもらうよう、心がけを発信していく社会的義務もおっているのではないでしょうか。

｜最後に

何はさておき、セキュリティを高めるにはさまざまな施策があります。そのうちでもっとも効果が高いのが二段階認証だと考えられます。えきねっとは二段階認証がなく、セキュリティ的に狙われるのは必然でした。超大手鉄道会社、JR東日本のセキュリティですから、みんな大丈夫だと思っていたことでしょう。しかし、IDとパスワードを使いまわししていては意味がありません。

そして、二段階認証もなかったことで、今回のトラブルになってしまいました。Pマークが取り消されるレベルの失態です。今回のことを教訓に、Pマークを取得しましょう。弊社ユーピーエフでは、Pマーク取得のサポートを行っています。ぜひお問い合わせください。

そしてシステム開発の際には、二段階認証を絶対にいれてください。

■こちらの記事もおすすめです
>>>【上場企業の個人情報流出は約１割の会社で起こるという衝撃のレポート】