携帯電話やスマホユーザー対象のSNS「Mobage(モバゲー)」で、最大10万件を超える不正ログインが発生した。他社サービスから流出したID/パスワードを悪用した不正ログインとみられ、改めて「パスワードの使い回し」に警鐘が鳴らされている。
運営会社のディー・エヌ・エー(DeNA)が1日に発表したところによると、今年1月9日から4月1日の間に、最大10万4847件のIDに不正ログインが確認された。不正ログインによって閲覧された可能性のある顧客情報は、「ニックネーム」「生年月日」「性別」「地域(都道府県)」などの登録プロフィール、およびマイゲームリスト(お気に入りゲーム)など。氏名を含む個人情報やクレジットカード情報の閲覧、および仮想通貨等の不正購入は確認されていない。
■海外IPアドレスから約3か月間にわたる不正アクセス
同社は、「Mobage」ユーザーから今年3月29日に問合せを受けて調査を開始し、同31日に海外のIPアドレスから不正ログインの試行があったことを確認した。問い合わせがあった日付から遡って調査した結果、不正ログインの試行は今年1月9日から4月1日までの約3か月間にわたって行われていたことがわかった。同一のアクセス元とみられる情報端末、海外のIPアドレスから、不正の可能性があるアクセスが確認されたという。
■該当パスワード、変更されたメールアドレスへの対応
同社は、不正ログインがあったとみられるアカウントについてパスワードを初期化し、該当ユーザーにパスワードを再設定するよう個別に連絡している。不正ログインによってメールアドレスが変更されてしまったとみられるアカウントについては変更前のメールアドレスへ変更し、その旨を該当ユーザーに個別に連絡している。
また、不正利用者からのアクセスを制限し、ログイン時のセキュリティ対策を強化。連続アクセス試行への検知・対策システムを強化した。
■悪用される「過去に流出したID/パスワード」
先月25日にも、不正アクセス禁止法違反で摘発された事業者から押収したサーバーから、約1800万人分のID/パスワードが見つかったとのニュースが報じられた。こうした過去に大量に流出したID/パスワードが不正ログインに悪用されているとみられる。今回の「Mobage」への不正ログインも、他社サービスから流出したID/パスワードを利用して行われたものと推測されており、DeNAは他サービスと同一のID/パスワードを利用しているユーザーに対し、パスワードを変更するよう呼びかけている。
なぜパスワードの使い回しが危険なのか、パスワードを負担なく変更して使う方法などについては、下記の関連記事を参照していただきたい。
(2016/04/06 ネットセキュリティニュース)
【関連URL:ディー・エヌ・エー】
・「Mobage」への不正ログインに関するご報告とパスワード変更のお願い
http://dena.com/jp/press/2016/04/01/mobage/