相次ぐ不正アクセス、同じIDとパスワードは狙われる
ミクシィとソフトバンクに不正アタックがあり、ニュースになっています。IDとパスワードは簡単ものを使っている、他のサービスとIDとパスワードを一緒にしている、という人は、一読することをお勧めします。
「My SoftBank」に不正アクセス、個人情報344件が流出のおそれ
不正アクセスは2月24日と25日に特定のIPアドレスから行なわれ、344人の個人情報(名前、携帯電話番号、固定電話番号、契約内容、利用状況)が閲覧できる状態になったそうです。また、第三者によって不正にコンテンツが購入された可能性もあると言います。
対象ユーザーには個別に連絡を行い、My SoftBankのパスワードリセット処理を実施しているそうです。また、身に覚えのないコンテンツ課金などがあれば、カスタマーサポートまで問い合わせるよう呼びかけています。
尚、今回の事件でソフトバンクではサーバーからのIDとパスワードの漏えいを確認していないため、おそらく、外部で盗まれたIDやパスワードをもとにしたリスト型アタックを受けたとみられます。リスト型アタックとなると、連続ログインへの対策が必要となってきますが、攻撃元のIPが分散されていたら防ぐのは難しそうです。利便性は損なわれますが、携帯情報ともなると、守りたいというユーザーの想いも強いと思うので、画像認証も検討しても良いのかもしれません。
クレジットカード番号や銀行口座などの信用情報、および、住所はマスキングされていたため、今回の不正アクセスでは影響が無いようです。
mixiに約1万7000件の不正ログイン、身に覚えのないつぶやき
ミクシィでも不正ログインが行われました。こちらは、不正ログインが確認されたのはは2月28日の2時45分から14時までとのことです。
件数は28日17時時点で1万6972件に上ります。内容は身に覚えのないつぶやき(mixiボイス)の投稿が確認されています。
ミクシィ側の対応としては、不正なつぶやきの削除し、対象となるユーザーへパスワード変更の依頼、不正利用者のアクセス制限の実施するなどの対策を行いました。加えて、ミクシィ全ユーザーに対して注意喚起を行っています。
こちらについても、サーバーからのユーザーアカウント情報の流出ではなく、他社サービスから流出または不正取得されたアカウント情報を流用された可能性が高いとの見解を示しています。
どちらも、サーバーからのID・パスワード流出では無く、なにかしらのリストに基づく外部からの攻撃です。今後は、下記のようなIDパスワードは標的にされやすいでしょう。
- ID・パスワードが短い単純な文字列
- 他のサービスとID・パスワードと同じ値を使っている
ドキッとした人は、改めてIDとパスワードを見直してみることをお勧めします。