最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆アドビ、脆弱性を修正したFlash PlayerとAcrobat Readerの最新版公開(2018/08/15) | メイン | ◆「SNSのなりすまし」にご用心、「一般人」でも被害発生(2018/08/22) »

2018/08/17

◆「不正ログイン」で高額な不正購入や個人情報流出の被害発生――PW守る対策を(2018/08/17)

 NTTドコモが運営する通販サイト「ドコモオンラインショップ」で不正ログインが発生し、高額なスマートフォン「iPhone X」を勝手に購入される被害が約1000件発生していたことが明らかになった。携帯電話サービス「mineo(マイネオ)」や、光通信サービス「eo光」などを提供するケイ・オプティコムは、不正ログインにより顧客の情報が閲覧された可能性があると発表している。

■ドコモ「dアカウント」:iPhoneを購入させられる被害が発生

 NTTドコモは14日、外部からの不正なログインにより、顧客のdアカウントが使用され、不正に取得したdアカウントを使い、ドコモオンラインショップで商品を購入する事象が確認されたと発表した。新聞・テレビ各社の報道によると、同ショップでは7月下旬以降、リスト型攻撃を受けて1800件の不正ログインが発生。うち1000件で高額なスマートフォン「iPhone X」を購入させられていた。購入した端末はコンビニなどで受け取るよう指定されていて、一部はすでに持ち去られたという。
 ドコモでは、2段階認証を利用すると第三者による不正ログインを防止することができるとして利用を推奨するとともに、適切なパスワードの設定と管理を呼びかけている。

・不正なアクセス対策としての「2段階認証」ご利用のお願い(NTTドコモ)
https://www.nttdocomo.co.jp/info/notice/page/180814_00_m.html

■ケイ・オプティコム「eoID」:顧客の情報が閲覧されたおそれ

 ケイ・オプティコムは16日、eoやmineoなどのサービスを利用するための「eoID」に対し外部から不正なログインがあったと発表した。8月13日から15日までの間に6458件の不正ログインが発生。顧客の氏名、住所、性別、電話番号、生年月日、メールアドレスなどが閲覧された可能性がある。
 調査の結果、同社サーバーへのハッキングによるeoIDの流出ではなくリスト型攻撃による不正ログインだと判明したという。該当する顧客にはメールで連絡している。

・eoIDに対する不正なログインについてのお知らせ(ケイ・オプティコム)
http://www.k-opti.com/announce/180816/

■「リスト型攻撃」による不正ログインがほかにも

 リスト型攻撃とは、何らかの方法で入手したIDとパスワードのリストを使ってログインを試行し、有効なアカウントに侵入する、不正アクセスの攻撃手法のこと。同じIDとパスワードの組み合わせを、複数のサイトで使いまわしているユーザーを狙った攻撃だ。

 会員登録をしてアンケートに答え、ポイントをためるサービス「アンとケイト」を運営するマーケティングアプリケーションズは6日、外部で入手したと思われるIDとパスワードを用いて同サービスに不正にログインされた可能性があり、調査を進めていると発表した。同サービスからの情報流出は確認されていないという。

・重要! 不正ログイン防止のためのIDとパスワード定期更新のお願い(アンとケイト事務局)
https://www.ann-kate.jp/

 動画サービス「niconico」を運営するドワンゴは7月6日と5月10日に、本人によるものではないと思われるniconicoアカウントへのログインを複数検出したと発表した。リスト型攻撃と思われるという。また同社は、このような手口においては、攻撃者の手元にあるメールアドレス/パスワードの一覧の精度を高めてから(ログインができるかどうかを確かめてから)、目的の犯行に及ぶことが見込まれるとして、現在niconico内では被害がなくとも、同じメールアドレス/パスワードを用いている他サービスにおいて被害が発生する場合があると指摘。サービスごとにそれぞれ独自なパスワードを使うよう呼びかけている。

・他社流出パスワードを用いた不正ログインについて(2018/07)(ドワンゴ)
http://blog.nicovideo.jp/niconews/79797.html
・他社流出パスワードを用いた不正ログインについて(2018/05)(ドワンゴ)
http://blog.nicovideo.jp/niconews/73053.html

■不正ログインへの対策

 上記のようなリスト型攻撃に対しては、「パスワードの使い回しをしない」ことが対策となる。名前や生年月日などからの類推攻撃や、安易なパスワードを機械的に試行する攻撃については、破られにくい「強いパスワード」を設定することが大切だ。上記の件でNTTドコモが推奨している「2段階認証」も、積極的に利用したい。パスワードの作り方や、2段階認証の具体的な利用方法、その他の対策については、下欄の関連記事とトピックスをご覧いただきたい。

 なお、2段階認証は安全を高めてはくれるが、万能ではない。特にSMSで認証コードが送られてくる方式については、本通信の7月の記事で解説したのでぜひ目を通していただきたい。メールでコードが届く場合は、メールアカウントに侵入されたら終わりだ。これらを盗み取るマルウェアもある。可能ならば、SMSやメールを使わない方式を選択したい。

(2018/08/17 ネットセキュリティニュース)

【関連記事:ネットセキュリティニュース】
・「STOP!!パスワード使い回し!!キャンペーン2018」実施中(2018/08/08)
・本人確認に使われるSMS認証に注意、「なりすまし」被害のおそれ(2018/07/06)

投稿情報: 11:33 |

|