TfL、顧客が愚かなハッキングの被害に遭ったためオイスターウェブサイトを閉鎖

画像には人間、衣類、アパレル、履物、靴、交通機関、車両、ターミナル、電車などが含まれている可能性があります

何年も前から明確なアドバイスが出てきました。複数のウェブサイトでパスワードを使い回さないでください。使い回すと、アカウントが侵害されるリスクがあります。

漏洩したユーザーログイン認証情報が悪用される被害に遭った最新の組織は、ロンドン交通局（TfL）です。ロンドン全域の地下鉄、オーバーグラウンド、バスサービスを監督するこの交通グループは、ユーザーアカウントが悪意のある人物によってアクセスされていることを確認した後、オイスターカードシステムのウェブサイトを閉鎖しました。

オイスターカードは2003年6月からロンドン全域で交通費の支払い手段として利用されています。オイスターカードのウェブサイトでは、オイスターアカウントの作成、カード残高のオンラインチャージ、定期券の購入、自動支払いスケジュールの設定が可能です。これらの機能はすべて、現在ご利用いただけません。

このウェブサイトが利用停止になったことは、 The Register紙が最初に報じました。現在、TfLのOysterページにアクセスすると、システムが「一時的に利用できません」というメッセージが表示されます。

TfLの広報担当者は電子メールでの声明で、「TfL以外のウェブサイトをご利用中にログイン情報が不正に取得され、少数のお客様のオイスターカードのオンラインアカウントが不正アクセスされたと考えられます」と述べました。また、お客様の支払い情報にはアクセスされていないと付け加えました。

「予防措置として、またお客様のデータを保護するため、追加のセキュリティ対策を実施する間、オンラインの非接触型決済およびオイスターカードのアカウントを一時的に停止しました。」

TfLは、影響を受けていると確認された利用者に連絡を取る予定であり、自社のシステムは侵害されていないことを強調している。TfLは、悪意あるアクセスを受けたアカウントを1,200件特定したと述べている。不正アクセスの試みがどこから来ているのかは明らかにしていない。ロンドン交通局の決済システムは引き続き稼働している。

2019年には、使い古したパスワードがオンラインで公開され、オンラインアカウントが侵害されるユーザーが増加しています。2月には、Deliverooの顧客のアカウントがハッキングされ、ランダムな住所に食べ物が注文されたという事例を報告しました。

このタイプの攻撃では、比較的単純なクレデンシャルスタッフィングという手法が用いられます。これは、ハッカーがデータ侵害からユーザー名とパスワードを入手し、それらが他の無数のオンラインアカウントに対して有効かどうかをテストするものです。

問題は、複数のアカウントで同じ脆弱なパスワードを使い回していることに起因しており、クレデンシャルスタッフィングはハッカーが過去のデータ侵害から利益を得るための簡便な手段です。今年1月、侵害されたメールアドレスとパスワードの世界最大規模のデータベースが、コレクション#1-5のデータベースにオンラインで公開されました。これらのデータベースには合計845GBものデータが含まれており、オンラインアカウントを悪用しようとするハッカーにとってまさに宝の山です。

今年上半期には、他の多くの企業がクレデンシャル・スタッフィング攻撃を受けてユーザーアカウントを停止しました。7月には、Skyの英国法人がクレデンシャル・スタッフィング攻撃を受けた後、顧客にパスワードの再設定を指示しました。今週、米国の保険会社State Farmは、クレデンシャル・スタッフィング攻撃を受けた後、ユーザーにパスワードの再設定を通知しました。

セキュリティ企業アカマイは、2019年にウェブ全体で悪意のあるログインが増加したと発表した。年初から4か月間で、アカウントへの不正ログインの試みは32億回に上り、5月と6月だけでも83億回に上った。「世界最大級の金融サービス企業の一つが、毎月8,000件以上のアカウント乗っ取りを経験しており、詐欺関連の直接的な損失は1日あたり10万ドル（8万2,000ポンド）を超えています」と、アカマイのウェブセキュリティ担当副社長、ジョシュ・ショール氏は調査結果を発表した際に述べた。

TfLはこの事件の調査を初期段階に進めているようだが、The Register紙によると、複数のユーザーがアカウントにアクセスできないとカスタマーサービスチームにツイートしているという。最初の被害は8月7日に発生した。

TfLは旅行者へのアドバイスとして、アプリや駅の券売機でオイスターカードを更新できると発表しました。アカウントに不審なアクティビティが見つかった場合は、カスタマーサービスチームに連絡することを推奨しています。その間、オンライン情報を保護するために、強力なパスワードとパスワードマネージャーを使用するようにしてください。

この記事はWIRED UKで最初に公開されました。