先月末、大手サービスの不正ログイン被害が相次ぎ明らかになった。SNSの「mixi」、およびソフトバンクモバイルのユーザー向けWebサイト「My Softbank」でアカウント情報が突破され、怪しいURL記載の投稿や不正購入が多発した。また、不正ログインとは異なるが、光文社のECサイトが不正アクセスを受け、カード情報が漏えいした。
■mixiで不正ログイン約1万7000件、危険な「つぶやき」投稿多発
ミクシィは2月28日、運営するSNS「mixi」に対し、外部から不正ログイン攻撃(リスト型)があったことを明らかにした。攻撃が行われたのは2月28日午前2時45分から午後2時で、28日午後5時現在で確認されている不正ログインIDは1万6972件。アカウント情報がのっとられたIDで、「mixiボイス」で身に覚えのない投稿がなされた。投稿内容は、不審なURLを示し、試用版のダウンロードを促すものとなっている。
調査の結果、この不正ログインは同社サーバーへの不正アクセスによるアカウント情報流出ではなく、他社サービスから流出または不正取得されたアカウント情報が使われた可能性が高いという。同社は不正なつぶやきを削除し、該当ユーザーへパスワード変更を依頼、不正利用者のアクセス制限を実施するとともに、全ユーザーに対し、ログインメールアドレスとパスワードの厳重な管理を呼び掛けた。他社サービスと同じパスワードを使用している場合、長期間パスワードを変更していない場合は、変更を強くすすめている。
・mixiへの不正ログインに関するお知らせ(ミクシィ)
http://mixi.co.jp/press/2014/0228/12151/
■My SoftBankに不正ログイン344件、「iTunesコード」不正購入の被害多発
ソフトバンクモバイルは2月28日、ユーザー向け専用サイト「My SoftBank」に対し、外部から不正ログイン攻撃(リスト型)があったことを明らかにした。攻撃が行われたのは2月24~25日で、確認されている不正ログインIDは344件。該当顧客の個人情報(氏名、携帯電話番号、固定電話番号、契約内容、利用状況)が流出した可能性がある。カード番号や銀行口座などの信用情報、および住所は流出していない。漏えいした個人情報を悪用して不正なコンテンツ購入が行われた可能性があり、ネットには「iTunesコード」が勝手に購入され請求が来ているという訴えが多数書き込まれている。
調査の結果、同社サーバーからのID/パスワード漏えいは確認されず、外部で盗まれたと考えられるIDやパスワードをもとにリスト型攻撃が行われたことがわかった。同社は該当顧客に対して個別に連絡し、パスワードリセット処理を実施。身に覚えのない課金など不自然な点があれば、同社へ問い合わせるよう案内している。また、全ユーザーに対し、パスワードの定期的変更、利用サイトごとの複雑なパスワード設定を行うよう呼びかけている。
・お客さまへのMy SoftBankパスワード管理のお願いと不正アクセスへの対応について(ソフトバンクモバイル)
http://www.softbank.jp/corp/group/sbm/news/info/2014/20140228_01/
■光文社のECサイト:1160件のカード情報漏えいの可能性
光文社は2月28日、伊藤忠ファッションシステムと提携して運営する3つのECサイト「kokode.jp KOBUNSHA SELECT SHOP」、「女性自身百貨店」、「Mart SELECT SHOP」が不正アクセスを受け、顧客のカード情報が漏えいした可能性があると発表した。今年1月にカード会社から連絡を受けて調査を行った結果、その可能性が高いことが判明した。攻撃者は外部からシステムへ侵入し、クレジットカード情報が外部へ送信されるようにプログラムを改ざんしていた。最大1160件のカード情報(番号、名義人名、有効期限、セキュリティコード)が漏えいした可能性がある。対象となるのは、2013年12月29日から2014年1月21日の間に上記ECサイトでカード決済をした顧客で、同社は該当者に対し個別メールで連絡している。ECサイト会員は、ログイン後のMYページで該当の有無を確認できる。同社は、カードの利用明細を確認し、心当たりのない請求があった場合、利用したカード裏面に記載の電話番号に連絡するよう案内している。
・お客様のクレジットカード情報漏えいの可能性に関するご報告とお詫び[PDF](光文社)
http://www.kobunsha.com/news/pdf/release_20140228.pdf
(2014/3/06 ネットセキュリティニュース)