ゲッティイメージズ / ブルームバーグ / 寄稿者
デリバルーの配達に問題が発生している。1ヶ月以上もの間、顧客からアカウントが不正アクセスされ、大量の食品の注文が一見ランダムな住所に送られているとの苦情が寄せられている。
ロンドンに拠点を置くデリバルーに対し、数十人のユーザーがアカウントにアクセスされ、配達先住所が追加され、注文が行われたと苦情を申し立てている。これは初めてのことではなく、3年前にも同様の一連の被害に遭っている。
「1月9日、ボーイフレンドのジョーが目を覚ますとメールが届いていました。デリバルーのアカウント情報が変更された、具体的にはメールアドレスと電話番号が変更され、アカウントに全くアクセスできなくなったと書かれていました」と、パートナーのジョーと共に詐欺に巻き込まれたエミリー・クランプさんは語る。24.99ポンドと10.99ポンドの2回の支払いが引き落とされていた。
4日後、クランプさんはデリバルーの住所が変更されたという同様のメールを受け取ったと語る。彼女は念のため、アカウントから支払い情報を削除していたため、注文は行われなかった。クランプさんによると、苦情が寄せられても同社は迅速に対応しなかったという。
同様に、YouTuberのジョエルとリアは、ロンドン南西部に住みながら、北ロンドンの店から51.58ポンドのシロック・ウォッカを注文した。その数分前に、デリバルーからアカウントに新しい住所が追加されたことを知らせる自動メールが届いた。
「すぐに電話したら、デリバルーのアカウントを凍結してメールを送ると言われました」とジョエルさんは言います。しかし、実際には銀行口座から引き落とされたそうです。「銀行に電話したら、カードはキャンセルされ、注文に使った端末が私の情報を使って今後支払いができないようにブロックされました」と彼は付け加えました。また、デリバルーからの返信が遅いことにも不満を漏らしました。
ジョエルとリア、そしてクランプは、WIREDに対し、不正注文の詳細とその後のデリバルーとのやり取りについて提供した。ニュー・ステイツマン紙は、最近40人以上が同様の問題を経験したと報じている。
そして、この騒動は、比較的単純なクレデンシャルスタッフィングという手法を使った犯罪者によって引き起こされていることが判明しました。これは、ハッカーがデータ侵害からユーザー名とパスワードを入手し、同じ情報を他の無数のオンラインアカウントでテストするというものです。
「残念ながら、サイバー犯罪者は、人々が複数のオンラインサービスで同じパスワードを使い回しているという事実につけ込み、他の場所で発生したデータ漏洩を利用してウェブ上の他のアカウントにアクセスしようとします」とデリバルーの広報担当者は述べ、同社のシステムは侵害されていないと付け加えた。「当社は詐欺師に対抗するための対策を継続的に展開しており、デリバルーはここ数ヶ月で顧客アカウントを保護するためのさらなる対策を導入しました。」
デリバルーは現在、このような形でアカウントが侵害されたという苦情を処理するために「専用チーム」を導入している。
続きを読む:中国の社会信用システムの複雑な真実
人々はウェブ上で同じ(しばしば脆弱な)パスワードを日常的に使用しているため、クレデンシャルスタッフィングは他のアカウントへのアクセスを容易にする手段となり得ます。これはDeliverooに限ったことではなく、ここ数週間、この手法を用いた攻撃が急増しているようです。
1月、侵害されたメールアドレスとパスワードを収録した世界最大規模のデータベースがオンラインで流通しているのが発見されました。「コレクション#1」および「コレクション#2-5」と呼ばれるこれらの膨大なコレクションには、20億件以上のアカウント、合計845GBのデータが含まれています。これはまさに、クレデンシャルスタッフィング攻撃の金鉱です。
RedditとDailymotionは共に、今月のクレデンシャルスタッフィング攻撃の増加について警告を発しました。Redditの管理者は「異常な」活動が見られ、ユーザーのアカウントがロックされたと述べています。
「最も一般的な説明は、非常に単純なパスワードの使用、または複数のウェブサイトやサービスでの認証情報の使い回しです」と管理者はブログ投稿に記しています。「別のサイトが侵害され、ユーザー名とパスワードのリストが公開された場合、それらのリストが他の人気サイトでも試され、有効かどうかが検証される可能性が非常に高くなります。つまり、同じ認証情報の組み合わせを使用しているアカウントはすべて危険にさらされるということです。」
Reddit、Deliveroo、その他のウェブサイトは、オンラインアカウント間でパスワードを重複して使用することを阻止することはほとんどできません。無料の食事を求めるハッカーは、以前にも同じ手口でDeliverooを標的にしてきました。
2016年、BBCは、アカウントを使って不正注文を行い、数百ポンドもの請求を受けた人々を発見しました。当時、デリバルーは、アカウントに新しい住所を追加する際、より多くの顧客に本人確認を求めていると発表しました。
それ以来、デリバルーは、取引の安全性を高めるために、機械学習と銀行認証を活用した不正防止ソフトウェアなど、新たなセキュリティ対策を導入してきたと述べている。また、不正行為が発生していると判断した場合には、予防措置としてカード情報を消去することもある。しかし、それでも十分ではないようだ。
幸いなことに、クレデンシャルスタッフィング攻撃から身を守るのは簡単です。複数のウェブサイトで同じパスワードを使い回さないようにし、haveibeenpwned? や Info Leak Checker で自分の情報が過去に漏洩していないか確認し、パスワードマネージャーを使って強力で安全なログイン情報を作成しましょう。
この記事はWIRED UKで最初に公開されました。
