こんばんは。iOS11の話も書きたいことはありますが、後日書くことにします。今回は東京ガスの不正アクセスについてです。ITproの記事からです。

itpro.nikkeibp.co.jp

　リスト型攻撃を受けたとのことです。9月1日にも同様の攻撃を受けていたようです。

9月1日の時点で17件、今回106件の個人情報流出があったようです。この記事によると、不正アクセスの手口はリスト型攻撃だとあります。他所からの不正アクセスで入手したログイン情報（IDとパスワード）を用いて、使いまわししていたIDとパスワードでヒットしたとのことです。

　なので、最近特に問題になっているApache Struts2関連なのかな？とも思いましたが、そういうわけではなく、正面からログインページに入手したIDとパスワードをひたすら試した単純な手口だったと推測されます。

　そういう観点からすると、利用者に対して「パスワードの変更をお願いします」というアナウンスは納得行きます。IDとパスワードの認証だけでログイン出来てしまうとなると、手の打ちようがなかったのでしょう。

　パスワードまたはIDのみの使いまわしなら、最悪の事態は免れたかもしれません。（あくまで推測の域を出ませんが）

　この記事からの推測ですが、情報流出した人数分のIDとパスワードのセットでの使いまわしが行われたのでしょう。これでは1回目の攻撃を受けた時点でサービスを停止するしかなかったのでしょう。そういった判断を即座に出来ず、社内手続にいたずらに時間を要してしまったのだろうと見ています。そのために2回目の個人情報流出が起きてしまったのではないかと推察します。

　この推測が正しいとすると、考えられるシステム側の問題点としては、二要素認証に対応してなかったのではないかという点がありそうです。それよりも、今回の場合はIDとパスワードの組み合わせを使いまわしした（＋安直なパスワードを設定していた）利用者が複数存在した可能性があるということではないでしょうか。

　「覚えるのが面倒だから簡単なパスワードでいいや」と考えて設定していた利用者がいたことも今回の事件が起きた遠因なのかなとも思いました。あくまで結果論ですが。