エヌジマ各メディアが報じていますが、ヤマト運輸が提供するサービス「クロネコメンバーズ」への不正アクセスならびに不正ログインがあった模様です。
ヤマト運輸によると、9月26日の時点で不正ログインの試行件数が約19万件あり、うち1万589件のアカウントに不正ログインされてしまったとのこと。不正ログインされたアカウントは、そのIDや氏名、性別、住所、電話番号、メールアドレス等の情報が閲覧された可能性があるそうです。
なお、クロネコメンバーズの会員登録はしていても、メールアドレスの登録をしていなければ被害の出る可能性はないとの発表がありました。
僕はこのサービスをよく利用しているしメールアドレスも登録していたので、今回の件をニュースで見てちょっと焦りました。
もしかしたら自分のアカウントも不正にログインされてしまったかも、という不安の中クロネコメンバーズのサイトに行ってみたところ…
緊急メンテナンス中でした(汗)。やはり今回の不正ログイン関係のためでしょうか。
サイトに行ってみたのには訳があり、ヤマト運輸が「個人情報を不正に閲覧された可能性のあるアカウントに関しては、パスワードを変更しないとサービスを利用できないように対策し、個別にユーザーへ連絡を取る。」と公表していたためです。
さて、メンテナンス時間が終了し、恐るおそるこれまでのパスワードでログインしてみると…
無事ログインに成功。特にパスワードの変更も求められなかったので、僕のアカウントに対しては不正ログインならびに情報の不正閲覧は無かったと考えて良さそうです。
ふう、とりあえずひと安心…。
(2014年9月29日追記:本日、午前11時ちょうどにヤマト運輸から登録しているアドレスにメールが届きました。文中に「不正ログインがあったアカウントのユーザーへは別途個別に連絡をしている」との旨が記載されていたため、僕のアカウントは大丈夫だったみたいです。)
なんだか最近「不正アクセス・不正ログインされた」っていうニュースをよく目にするような気がしますね。それらの手法は色々あるようなのですが、このたびの「クロネコメンバーズ」への攻撃は「パスワードリスト攻撃」だったとのことです。
どんな攻撃手法なの?ということで、コンピュータやインターネットのセキュリティ関連製品・サービスを提供するトレンドマイクロのサイトに「パスワードリスト攻撃(アカウントリスト攻撃)」の説明があったので引用したいと思います。
アカウントリスト攻撃とは、オンラインサービスへの不正ログインを狙った不正アクセス攻撃の一種です。不正ログインのためにIDとパスワードがセットとなったアカウント情報リストを利用することを示し、従来からある不正ログイン攻撃手法であるブルートフォース攻撃や辞書攻撃と区別するための呼称です。一般に「パスワードリスト攻撃」、「リスト型アカウントハッキング」と呼ばれる場合もあります。
つまり、既に他のサービスから流出しているIDとパスワードのセットを用いてログインを試みるってことですよね。
そして今回不正にログインされてしまったアカウントを持つ方は、他社のサービスで利用しているID・パスワードと同じものを「クロネコメンバーズ」で使用していた可能性が高いってことでいいのでしょうか。
いやあ、怖いですね…。
というのも、僕は全てのサービスで同じID・パスワードを使用してはいないものの、ID・パスワードそれぞれ3種類くらいを使い回しているためです。
もしもどこかのサービスからID・パスワードの情報が漏洩してしまった場合、さらに別のサービスにも被害が及んでしまう可能性があるってわけです。
サービス側に万全なセキュリティ対策を期待するのもそうなのですが、出来る対策は自分でもしておかないといけなさそうですね。
- 他のサービスで利用しているパスワードは設定しない
- パスワードは過去に使ったことのない新しいものに定期的に変更する
IDとパスワードがセットになったリストを用いるパスワードリスト攻撃に対しては、上記のようなことがユーザーにも出来る対策でしょうか。
パスワードの管理は大変になりますが、何か被害が出てしまうのも嫌なので、とりあえず今登録しているサービスのパスワードを変更したいと思います。