またしてもリスト型アタック!mixi(ミクシィ)の26万アカウントに不正ログイン
ここ最近、国内大手サービスでリスト型アカウントハッキングの被害が急増していますが、mixi(ミクシィ)がまたしても攻撃にあっています。5/30〜6/16までに約26万アカウントが不正ログイン被害に合い、現在も攻撃は継続中とのことです。mixi(ミクシィ)は過去2月にも不正ログインの被害に合っていて、当時の被害は1万7000件程度だったので、前回と比較しても今回のアタックはかなり大規模であることが分かります。
不正ログイン被害の詳細
発生日と期間
6/2時点でユーザーから問い合わせがあり調べたところ、5/30より疑わしいIPアドレスからのアタックを受けている事が判明。6/17時点でも継続してアタックが行われているとのことです。
アタックの手法
ここ最近大流行している「リスト型アタック」です。他社サービスから流出したと思われるIDとパスワードのリストでしらみつぶしにログインを試みて、たまたま同じIDとパスワードを使っていたユーザーは不正にログインされてしまいます。
不正ログインを受けたID数
ミクシィの案内ページから引用します。
263,596アカウント(6月16日24時 時点)
不正ログインの試行回数:約430万回(6月16日24時 時点)
ミクシィが今年の2月にアタックを受けた際の被害は約1万7000アカウントだったので、比較してみても今回はかなり大規模であることが分かります。
金銭的な被害は今のところ無し
いまのところ、ログインされたあとに課金されたりmixiポイントが不正利用された形跡は無いようです。
現時点では、課金やmixiポイントの不正利用は確認されておりません。また、弊社のシステムでは、クレジットカード情報は保有いたしておりません。
mixi側の対応
不正ログインされたmixiを使っているユーザーへのパスワード変更依頼
不正ログイン対象ユーザーのうち1か月以内にmixiにログインしているユーザー7万8058アカウントには、mixiメッセージでパスワード変更を依頼をしています。
使われていないアカウントの一時的なログイン停止
また、1ヶ月以内にログインしていない16万7617アカウントについては、被害を防ぐためにログインを一時的に禁止する措置を行っています。
不正なIPアドレスからのIP制限
不正ログインを試みるIPに対してアクセス制限を実施しています。
被害の内容と対応について、下記ページに公式に案内が出ています。
出る杭は打たれる?最近ゲームや新サービスで勢いのあるミクシィ
モンストなどが当たり現在大躍進中のミクシィ。
初めて書いた記事がミクシィの新サービスだったことに縁を感じて、なんとなくこれまでウォッチ継続していたのですが、その勢いは確かに目立つものがあります。
悲しいかな、出る杭は打たれるということなのかもしれませんが、事業が拡大して認知度が上がれば上がる程、セキュリティリスクが高まるのは事実。既にメディアで取り上げられる規模のアタックをここ最近で2回受けているので、ミクシィはこれから更に強固なセキュリティ施策が求められることになると思います。
その他ミクシィ関連の記事
ここ最近のリストアタックの被害
先日6/14(土)にLINEのリストアタック被害について書きましたが、そこから1週間待たずにまたしてもmixiで被害が発生している状況です。
ここ最近でリスト型アタックを受けた企業のリスト
- LINE
- ドワンゴ
- mixi
- 楽天
- ソニー
- ソフトバンク
IPAから発表された2014年版「情報セキュリティ10大脅威」にも「不正ログイン・不正利用」は昨年よりランクアップして2位にランクインしています。
ここ最近の被害傾向を見ると、2015年版はさらにランクアップして1位になる可能性もありそうです。
あとがき @aiza_waiさんをフォロー
プライベート情報を守って被害を防ぐためには、これからのパスワード管理について、個人のレベルでも真剣に考えていく必要がありそうです。せっかくセキュリティ関連の記事をまとめているので、望ましいパスワード管理の方法についても書きたいと思います。