最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆グーグル、深刻な脆弱性を修正した「Google Chrome 72」公開(2019/01/30) | メイン | ◆ネット接続機器への「無差別侵入調査」始まる――家庭のIoT機器をサイバー攻撃から守る「4つのポイント」(2019/02/08) »

2019/02/05

◆アカウント情報流出相次ぐ――強いパスワード設定と使い回し禁止、追加認証で二次被害対策を(2019/02/05)

 国内のサービスで顧客情報の流出が相次いでいる。流出した情報の中には、ログイン用のIDやメールアドレスとパスワードが含まれているものもある。流出元では発覚後に安全策を実施したが、他のサービスなどへの二次被害の拡大が懸念される。

 

■最近のアカウント情報流出事故

●12月4日発表:あぐりーん「農家のおしごとナビ」
 農業求人サイト「農家のおしごとナビ」に、2018年11月30日以前に登録した全会員の登録情報(メールアドレス、パスワード、生年月日、その他本人が当該ウェブサイトに登録した情報)が流出した疑いがある。流出範囲については不明確という。

・会員情報の漏えいの可能性に関するご報告とお詫び
https://www.agreen.jp/whatsnew/news.php?id=1955

●1月18日発表:デジサーフ「波通」
 サーファー向けにサーフポイントのライブカメラと波情報などを提供するサイト「波通」に登録した、メールアドレスとパスワード1万9700件の流出が確認された。

・個人情報漏えいに関するお詫びとご報告[PDF]
https://digisurf.co.jp/wp-content/themes/digisurf-20170703/images/namitsu20190118.pdf

●1月25-28日発表:オージス総研「宅ふぁいる便」
 ファイル転送サービス「宅ふぁいる便」が不正アクセスを受け、2005年以降の全登録者の氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別など、約480万件が流出した。ファイルの流出については不明という。

・「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い)
https://www.filesend.to/

●1月30日発表:ユニクロ
 同社の商品開発や販売促進の社外協力者804名の個人情報を管理するWebサイトのURL、ユーザーID、パスワードが、2017年9月1日から2019年1月16日早朝までインターネット上で閲覧可能な状態だった。

・一部の社外協力者の個人情報流出の可能性に関するお知らせとお詫び
https://www.uniqlo.com/jp/corp/pressrelease/2019/01/19013008_uq.html

●1月29-31日発表:ジラフ「Peing-質問箱」
 Twitterなどと連携して匿名の質問を受け付けるサービス「Peing-質問箱」に登録していたメールアドレスやパスワード、連携先のアクセストークンなどが、インターネット上に公開されていた。最大流出件数は、メールアドレス149万7967件。パスワード94万9480件。流出したパスワードは、元のパスワードに復元できない一定の値「ハッシュ値」に変換したデータと、強度を上げるために付加する「ソルト情報」が流出している。そのままでは、ログイン情報として利用できないが、過去に元のパスワードが割り出された事例がいくつもある。

・Peing-質問箱-に関するお詫びと詳細のご説明(第一報)
http://jiraffe.co.jp/news/2019/01/29/1295/
・Peing-質問箱-における情報漏洩についてお詫びとご説明(第二報)
http://jiraffe.co.jp/news/2019/01/31/1321/

 

■想定される二次被害:迷惑メールや架空請求、リスト攻撃など

 メールアドレスが流出している場合には、そのメールアドレスあてに不審なメールや迷惑メールが届くようになるかもしれない。個人情報と一緒に流出している場合には、本物と見紛う信ぴょう性の高い詐欺メールなどが届くこともある。

 「〇〇様」と名指しで届くフィッシングメールや架空請求などは、国内でもたびたび確認されている。メールサービスやセキュリティソフトのフィルタリング機能で、ある程度軽減できるものの、メールアドレスの変更以外に抜本的な対策はない。騙されないようくれぐれも注意していただきたい。

 ログイン用のIDやメールアドレスとパスワードの組合せを、他のサービスでも使用している場合には、ID・パスワードのリストを用いて機械的なログインを試行する「リスト攻撃」により、別のサービスが不正ログインされるおそれがある。心当たりがある方は、使い回しているパスワードを速やかに変更していただきたい。

 

■対策:強いパスワード設定と使い回し禁止、追加認証機能の利用を

 パスワードは、類推されない複雑で長いパスワードを設定し、同じパスワードを使い回さないようにする。

 サービス側に「2段階認証」や「多要素認証」などと呼ばれる追加の認証機能が用意されている場合には、積極的に利用していただきたい。登録と初回のログイン時に若干手間がかかるが、パスワード認証だけではログインできなくなるので、アカウント情報流出時の極めて有効な対策になる。

(2019/02/05 ネットセキュリティニュース)

投稿情報: 10:14 |

|