OCN、PPPoEなどに使う接続認証パスワード756件が不正に変更される攻撃

　NTTコミュニケーションズ（NTT Com）は26日、「OCN」のインターネット接続用パスワードが、第三者によって不正に変更されていた事例を確認したと発表した。756件のOCN認証IDでパスワードが変更されたことが分かっており、該当する会員のパスワードを初期化し、個別にメール連絡しているという。

　攻撃の対象となったOCN認証ID・パスワードは、OCN会員がPPPoEやダイヤルアップなどでインターネットに接続する際に必要となるもので、ウェブメールや会員のマイページへのログインなどに普段使用するログインID・パスワードとは別のものだ。ブロードバンド会員であれば、契約時にいったんブロードバンドルーターに設定してしまうと、以降は目にすることがほとんどないという人も少なくないのではないかと思われる。

　このOCN認証IDのパスワード変更を行うために会員向けに用意されているウェブサーバーにおいて、6月21日～25日の間に、2000件以上のOCN認証IDに対して不正ログイン試行があり、そのうち756件で不正ログインに成功され、パスワードを変更された。

　ただし、このサーバーはパスワード変更機能のほか、OCN認証ID・パスワードが正しいものかどうかを確認するといった機能しか提供しておらず、会員情報ページなどへはアクセスできない。個人情報や決済情報の流出被害も確認されていないとしている。

　一方、認証パスワードを不正に変更されることよる被害としては、OCN会員がインターネット接続できなくなることが考えられる。とはいえ、最近ではブロードバンド会員が多いため、ブロードバンドルーターを再起動したり、いったんセッションを切ったりしない限り、OCN認証ID・パスワードの再認証要求は行われず、認証パスワードが変更されても、そのままインターネットに接続できている場合も多いと考えられる。

　実際、今回の件に起因してインターネット接続できなくなったと考えられる会員からの問い合わせは数件程度にとどまり、不正にパスワード変更された756件のほとんどの会員がこれに気付かずにいる状態だという。NTT Comでも、どういった目的でこのように用途が限定されるIDに対して攻撃が行われたのか首をかしげている。

　なお、認証パスワード変更用のサーバーには、OCNの接続会員（OCNが払い出したIPアドレス）からしか接続できないよう制限がかかっている。しかし今回の攻撃では、攻撃者があらかじめ他人のOCN認証ID・パスワードを用いてOCNに接続していたために、攻撃元に対してOCNのIPアドレスが払い出されていた。その上で認証パスワード変更用サーバーへアクセスしていたために、IPアドレスによる制限をすり抜けてしまったわけだ。

　このように認証パスワード変更用サーバーへの接続のために悪用されたOCN認証IDは16件あり、それによって払い出された特定のIPアドレスから、多数のOCN認証IDを用いて同サーバーへのアクセス試行が行われていたのを、6月24日のログチェックにおいて発見。認証パスワードの不正変更が発生していたことが発覚した。

　OCN認証ID・パスワードのリストが攻撃者の手に渡った原因については調査中で、現時点でNTT Comから流出した事実は確認されていない。また、フィッシングサイトによるID情報摂取の可能性については、OCNのトップページなどを装ってログインIDを窃取しようとした事例は以前にも確認されているものの、OCN認証IDを窃取しようとするような事例は今までに見たことがないという。

　ほかに可能性が考えられるのは、他社サービスからID・パスワードの組み合わせのリストが流出し、それと同じID・パスワードを使い回しているアカウントが狙われる最近はやりのパターンだが、NTT Comによると、OCN認証IDは契約時に割り振られるもので、会員が任意の文字列に変更することはできない。ランダムに近い英数字の文字列となっており、会員があえて同じ文字列をメールアドレスや他社サービスのアカウントに使い回すようなことは考えにくいという。

　なお、NTT Comの発表文では、脆弱性があることが昨年判明した無線LANブロードバンドルーター製品のユーザーに対してファームウェアのアップデートを求めているが、今回の件に限らずセキュリティ対策として会員に呼び掛けているものであり、特に今回のOCN認証ID・パスワードの流出経路が特定されたわけではないとしている。あわせて会員に向けては、OCN認証パスワードの定期的な変更も呼び掛けている。