リスト型攻撃により5万件以上の「Ameba」アカウントが不正ログイン被害(サイバーエージェント)
サイバーエージェントのブログ&アバターサービス「Ameba」が、このゴールデンウィーク期間に不正ログイン被害に遭い、5万件以上のアカウントが不正ログインされたことが明らかとなった。
インシデント・事故
インシデント・情報漏えい
同社が11日に発表したところによると、4月29日20時過ぎから「リスト型アカウントハッキング」(リスト型攻撃)が発生。5月7日時点で、不正ログイン試行回数は223万6076回、不正ログインされたアカウント数は5万905件にのぼったという。
閲覧された可能性があるのは、「Ameba」に登録している情報(ニックネーム、メールアドレス、生年月日、居住地域、性別など)、Amebaの仮想通貨コインの履歴情報。クレジットカード情報などはないとのこと。同社ではパスワードリセットを行うとともに個別にメールで案内を送ったほか、渋谷警察署生活安全課に被害届けを出したとしている。
今回用いられた「リスト型アカウントハッキング」とは、他社サービスなどで利用されているID/パスワードの組み合わせを、さらに他社でも試すというもの。同じメールアドレスとパスワードを使っている場合、1つのサービスから漏えいしただけでも、他のサービスで不正ログインされる可能性がある。
今後ユーザーが被害を防ぐためには、まず前提として「同じパスワードは使い回さない」ことが重要だ。これによりリスト型攻撃は意味をなさなくなる。
だが、パスワード自体が突破されやすいものでは、いずれ被害に遭う可能性は高い。今回Amebaでは、以下のようなパスワードは避けるように呼びかけている。自分のパスワードがこのような“ダメパスワード”になっていないか、チェックすべきだろう。
・パスワードが「同じ文字の連続」になっている
・パスワードが「生年月日」や「電話番号」になっている
・パスワードが「数字のみ」になっている
・パスワードが「password」などの単語のみ使われている
なお、Amebaのパスワードは、6~12の英数字が利用でき、それより短いもの・長いものは不可となっている。また数字のみのパスワード、ログインIDが含まれているパスワードは設定できない。そのため「aaaa」「123456」などは設定できないが、「aaaaaa」は設定可能となっている。推奨していないだけで設定可能なのは、正直危険だ。利便性の問題もあるが、英大文字・小文字・数字の3種は必須にするなどしてほしいところだ。
「Ameba」不正ログインでわかった“ダメパスワード”の見分け方
《赤坂薫@RBB TODAY》
関連記事
この記事の写真
/
関連リンク
特集
アクセスランキング
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
Windows DNS の脆弱性情報が公開
-
バッファロー製無線 LAN ルータに複数の脆弱性
-
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
-
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
-
東京高速道路のメールアカウントを不正利用、大量のメールを送信
-
プルーフポイント、マルウェア配布する YouTube チャンネル特定
-
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず