サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

サイバーエージェント運営の「Ameba」で起こった5万アカウント不正ログインの原因とは?



画像:Cyber Agentより

「Ameba」と言えば、サイバーエージェントが提供しているSNSサービスなどで有名なネットサービスです。

2016年5月29日から、このAmebaになりすましによる不正ログインの被害が発生していることが明らかとなりました。

事件の経緯

Amebaを提供するサイバーエージェントによると事件の経緯は以下のようになっています。

4月29日(金)20時半頃 第三者のなりすましIDによる不正ログインが発生
→以降断続的に発生
5月6日(金) 不正ログインを許したIDのパスワードの強制リセット実施
利用者にパスワードの再設定を促すよう連絡
5月7日(土)17時半 223万6076回に及ぶログインの試行が行われる
5万905件が不正にログイン

事件の原因(問題点)

img_12086_1

今回使用された方法は、「リストハッキング」と呼ばれるもので、他社サービスで使われたID/パスワードの組み合わせを別の他社でさらに試すという攻撃です。

もし、複数のサービスで同じID/サービスを使っていると1社でも漏れるとすべてアクセス出来るようになってしまうことを意味します。

つまり今回のケースでは、悪意を持った者が他社で漏れたIDとパスワードでアクセスできるかどうか試したということです。その結果、漏えいした他社のリストと同じID/パスワードであったものがアクセスされてしまったことになります。

したがって事件の原因は「複数のサービスで同じID/パスワードを利用していること」。言い換えれば、「サービスごとにID/パスワードを変えていない」ところにあります。もし、IDやパスワードを変えていたらアクセスは出来なかったことでしょう。

漏洩した情報は何か

今回のケースの場合、もしログインされていると個人情報が閲覧されている可能性があります。

閲覧された可能性のある情報は下記です。

  • ニックネーム
  • メールアドレス
  • 生年月日
  • 居住地域
  • 性別

ただ、サイバーエージェントによると、これらの情報が改ざんされた形跡は無いとのことです。

事件後の対応はどうだったのか

サイバーエージェントによると、今回の事件の発生を受けて迅速に以下の対応が実施されたとのことです。

  • ログインIDとパスワードが流出したと思われる利用者にパスワード変更を要請
  • 上記以外の利用者についても念のためパスワード変更を案内

今回の事件を受けて、他のサービスと同じや、誕生日等の安易なパスワードを使わないようにすることを求めたとのことです。

まとめ(筆者所感)

今回のAmebaでのなりすましによる不正ログインの問題は、利用者がついついやりがちなところをある意味うまく悪用した事件と言えるでしょう。

やりがちなこと、それは「複数のサイトで同じIDやパスワードを使うこと」です。今回のAmebaの事件の根本的な原因はそれに尽きます。
では、なぜそういうことをするのでしょうか。

今やインターネット上のさまざまなサイトでIDやパスワードが必要になっています。
一人で10個以上のIDやパスワードを持っている人も珍しくないのではないでしょうか。そうなるとIDやパスワードをたくさん持っていても「覚えられない」「管理しきれない」といった理由から、ついつい同じID/パスワードを使ってしまう方も多いと思います。

しかし、これをやってしまうと今回のケースのように、ある一つのサービスでIDやパスワードの漏えいが起きてしまうと、同じIDやパスワードを使っている他のすべてのサービスにログインできてしまうことになるのです。そうなると、いくらサービス提供側がセキュリティ対策を施しても意味がなくなってしまうことにつながりかねません。

今回のケースを例にとると、他のサービスで漏えいしたIDやパスワードがAmebaでも使えるとなると、いくらAmebaでセキュリティ対策を施していても意味がないということになるのです。

こういった多くのIDやパスワードの管理は、大手のセキュリティベンダーなどから管理するためのツールがリリースされています。そういうものを使って管理することもおすすめです。安易に共通のIDやパスワードを使うことは絶対に避けるべきです。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。