最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆Flash Playerの更新を装う不正ソフト、広告配信使い拡散(2014/06/23) | メイン | ◆日本人を狙うフィッシングがターゲットを拡大(2014/06/26) »

2014/06/25

◆止まない不正ログイン、二次被害続く「LINE」~原因を知って対策を(2014/06/25)

 何らかの方法で取得したアカウントリスト(ログインIDとパスワードの組み合わせリスト)を使い、機械的にログインを試行したと見られる攻撃が先月から相次いでいる。18日付の記事では、「niconico(ニコニコ動画)」「LINE」「mixi」での被害をご紹介したが、その後も20日には「はてな」が、23日には「Ameba」が被害状況を公表している。

 「はてな」のスタッフブログによれば、不正ログインは今月16日に始まり、発覚する19日までの間に約160万回試行。2398アカウントで不正ログインが成功し、うち3アカウントではメールアドレスが変更され、Amazonギフト券交換の申し込みが行われたという。ただし、ギフト券の交換はスタッフが目視で確認し手続きを行っているため、交換には至らず未遂に終わったとのことだ。

 「Ameba」を運営するサイバーエージェントの告知によれば、「Ameba」の不正ログインは今月19日に始まり、発覚する23日までに229万3543回試行、3万8280アカウントが不正ログインされたという。登録情報が閲覧された可能性はあるが、改ざんや仮想通貨の不正利用などの被害は発生していないそうだ。

■成功率の高いアカウントリスト攻撃とその対策

 今月に入って報告されたアカウントリスト攻撃と見られる不正ログイン被害のうち、試行回数と成功数が公表されている4サービスについて、その成功率を算出してみた。

       成功数    試行回数    成功率
Niconico  21万9926   220万3590   9.98%
Mixi    26万3596   430万     6.13%
Ameba    3万8280   229万3543   1.67%
はてな      2398   160万     0.15%

 集計結果は、「はてな」以外が10~数十回の試行で1回と、かなり高い成功率であることを示している。アカウントリストを使った不正ログイン攻撃の成功率は、ユーザーの重複度やID/パスワードを使いまわしているユーザー数次第だが、異なるサービス間で同じログインIDとパスワードの組み合わせを使用していなければ、この攻撃は全く成立しない。ログインIDとパスワードの組み合わせを同じにしないことが、この攻撃のいちばんの防衛策なのだ。

 「はてな」の成功率が他のサービスより1桁低いが、他の3サービスのログインIDがメールアドレスであるのに対し、「はてな」のログインIDがユーザー指定の任意の文字列であるという点が影響しているのかも知れない。

■二次被害が続くLINE

 「niconico」と「はてな」では、不正ログインに成功したアカウントの一部で、ポイントが不正に使用されたことが報告されている。「LINE」では、本人になりすまして「友だち」に電子マネーの購入を持ちかける詐欺行為が行われていると報告されており、ネット上では、今週に入ってからも同種の報告が続いている。なりすましトークで、プリペイドカードの購入を依頼し、カードの番号を送らせるという手口だ。

 電子マネーのプリペイドカードは、コンビニなどで販売されており、記載された番号をカードのサービスサイトで入力すると、額面の金額がユーザーのウォレット(財布)にチャージされる仕組みになっている。カード自体を持っている必要はなく、番号さえわかれば自由に使えるので、なりすましトークに騙されると、電子マネーを巻き上げられてしまう結果になる。

■完全乗っ取りもあるLINEの不正ログイン、その対策は

 他のサービスと違い、LINEのログインアカウントは必須ではない。ログイン用のメールアドレスとパスワードの設定は、パソコン版のLINEを使用したり、機種や電話番号の変更時に友だち情報などを引き継いだりしたい場合に必要となるため、未設定の方も多いかもしれない。LINEの[その他]→[設定]→[アカウント]を開き、[メールアドレス登録]の欄が[未登録]になっている場合は未設定で、この場合には、第三者に直接端末を操作されない限り、不正ログイン被害を受けることはない。

 メールアドレス登録で他のサイトと共通したメールアドレスとパスワードの組み合わせを登録していたり、類推されやすい安易なパスワードを設定していたりする場合には、不正ログイン被害を受ける可能性がある。LINEの不正ログインには、パソコン版を勝手に使われ、覗き見されたり成りすましトークを送られたりするレベルと、機種変更の要領で完全に乗っ取られてしまうケースとがある。前者に関しては、先の[アカウント]を開き、ディフォルトで有効になっている[他端末ログイン許可]を解除することによっても防御可能だ。完全乗っ取りも含めて防御するためには、強固なパスワードを設定し、なおかつメールアドレスとパスワードの組み合わせを使いまわさないようにする必要がある。

(2014/06/25 ネットセキュリティニュース)

【関連URL】
・SNS「mixi」への不正ログインに関して(mixi)
http://mixi.co.jp/press/2014/0617/12217/
・「niconico」への不正ログインに関するご報告(ドワンゴ)
http://info.dwango.co.jp/pi/ns/2014/0613/
・他社流出パスワードを用いた不正ログインについて(ニコニコインフォ)
http://notice.nicovideo.jp/ni046768.html
・他社サービスと同じパスワードを設定している皆様へパスワード変更のお願い(LINE公式ブログ)
http://official-blog.line.me/ja/archives/1004331596.html
・コミュニケーションアプリのなりすまし利用にご注意ください(ウェブマネー)
http://www.webmoney.jp/news/2014/0618_app.html
・「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い(サイバーエージェント)
http://www.cyberagent.co.jp/info/detail/id=9036
・はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い(はてなの日記)
http://hatena.g.hatena.ne.jp/hatena/20140620/1403233254

投稿情報: 20:52 |

|