人気ゲームサイト・アプリの「Mobage(モバゲー)」において、最大10万4847件のアカウントで約3ヶ月ものあいだ不正ログインが発生していたことを、運営する株式会社ディー・エヌ・エーが公表しました。
事故の原因は?
パスワードリスト攻撃による不正ログイン
他のサービスから流出した可能性のあるID・パスワードを使った不正ログイン試行が、海外のIPアドレスよりおこなわれていたことを、株式会社ディー・エヌ・エーが2016年3月31日に確認しています。
不正ログインが確認された期間
2016年1月9日~4月1日
被害の状況は?
不正ログインが確認されたID
最大10万4847件
盗み見られた可能性のあるユーザー情報
ニックネーム、生年月日、性別、地域(都道府県)などの登録プロフィール、マイゲームリストなど
メールアドレスが第三者から変更されたと見られる被害を確認
なお、氏名を含む個人情報やクレジットカード情報の閲覧、仮想通貨等の不正購入は確認されていない、としています。
事故が発覚したきっかけ
2016年3月29日にユーザーからの問い合わせがあり、調査を実施。
→不正ログインがおこなわれていたことが3月31日に判明しました。
不正ログインを受けたユーザーへの対応
- パスワードを初期化し、再設定をおこなうよう個別に連絡
- 第三者からメールアドレスを変更されたとされるアカウントへ、変更前のメールアドレスに戻したことを個別に連絡
おこなった対策
- ログイン時のセキュリティ対策を強化
- 連続アクセス試行への検知・対策システムを強化
- 不正利用者からのアクセスを制限
- 他の不正行為の有無を調査
リスト攻撃を防ぐ方法は?
パスワードを使いまわさない、定期的に変更する
もし自分のID/パスワードが何らかの原因で流出し、ログインを試されたとしても、パスワードを定期的に変更していれば防げる可能性がかなり上がります。
また、昔登録したけど使っていないSNSや会員サイトを放置するのは危険です。不正利用される前に、削除や退会することをおすすめします。
「攻撃はかならず受ける」とした対策を!
今回のサイバー事故ではユーザーからの連絡がなければ攻撃に気づけず、さらに被害が拡大していたことも考えられます。不正なログインが試行されたとき、企業側ですぐに検知できるようにしておく必要がありました。
パスワードリスト攻撃は“通常のログイン動作”と同じようにおこなわれる攻撃なので、検知しにくいやっかいな攻撃です。
しかし第三者のプロによるセキュリティ調査を受け、サイトの弱点を知り、セキュリティを強くすることで、攻撃を防げる可能性がグッと高まります。
いちど攻撃されサイバー事故が起きてしまうと、サイトの復旧だけでなく、顧客やメディアへの対応やおわびをするために大きな負担がかかってしまいます。攻撃を突破されないよう、ふだんから対策をすることは必須です。
サイバー攻撃は自分とは無関係、と思うかもしれません。しかし、今は「自分のパスワードは出回っている」「サイバー攻撃はかならず受けてしまうもの」と考えておき、その上で対策しなければならない時代になっています。
