サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

DeNA「モバゲー」不正ログイン事件から考える<リストハッキングの恐怖>



画像:Mobage by DeNAより

ディー・エヌ・エー(DeNA)は、同社が運営するゲームサイト「モバゲー」で2016年1月9日から4月1日までの約3か月間に、最大10万4847件のアカウントで不正ログインが発生した可能性があると発表した。

事件の経緯

mobage_logo

DeNAによると、「モバゲー」への不正アクセスは1月9日から4月1日までの3か月間に海外の2つのIPアドレスから継続して240万回も行われていたことが確認できたとのことです。

実際の不正ログインの発覚は、3月末に利用者からの問い合わせによってはじめて明らかとなっています。
これをまとめると、以下のようになります。

2016年1月9日~4月1日 不正ログインが継続的に実施される
(海外の2つのIPアドレスから240万回)
3月29日 利用者からの覚えのないログイン記録があるとの問い合わせがある
→この時点で初めて調査を開始
3月31日 不正ログインがあったことが判明

詳細については後述しますが、この結果を受けて、DeNAでは迅速にシステム面での対応、および被害者への連絡等を行っています。

事件の原因(問題点)

DeNAの調査によると、今回の事件の原因は、インターネット上の他のサービスから流出したアカウントID・パスワードのリストにあるとのことです。
悪意を持った者がこのリストを不正に悪用し、海外のIPアドレスからモバゲーにアクセスしたのです。

こういった他のサービスで手に入れた情報を使ってアクセスを試みる攻撃は「リストハッキング」と呼ばれています。

このリストハッキングの結果として不正アクセスが出来てしまう原因は、言うまでもなく「ID/パスワードの使いまわし」です。
複数サービスでID/パスワードを使いまわすことは、忘れにくいという意味では良いのですが、一か所で外部に漏えいすると使いまわしをしている他の全てのサービスにログインできてしまうことを意味します。
これは非常に危険なことです。

漏洩した情報は何か

DeNAによると今回漏洩した情報は登録プロフィールと呼ばれるものです。

  • ニックネーム
  • 生年月日
  • 性別
  • 地域(都道府県)

などといった情報が含まれていますが、「氏名」を含む個人情報や「クレジットカードの番号」などは流出しておらず、また仮想通貨の購入なども確認されていないとしています。

事件後の対応はどうだったのか

DeNAでは、今回の不正ログインの発生を受けて、以下のような対応を行っています。

  • ログイン時のセキュリティ認証を強化
  • 連続したログイン攻撃、DDoS攻撃といったものへの防御体制の向上
  • 不正アクセス等のブロック(攻撃のあったIPアドレスなど)

また、不正ログインが行われた可能性のある対象者については、以下のような対応を行っています。

  • 不正にログインされたと思われる利用者に個別のパスワード変更要請を実施
  • 第三者によってメールアドレスが変更された利用者のメールアドレスを元に戻す

まとめ(筆者所感)

今回、DeNAが運営するゲームサイト「モバゲー」で発生した240万回に及ぶ不正ログインの原因は、他のサービスから流出したID/パスワードを使っての「リストハッキング」です。
しかし、根本的な原因は利用者の「ID/パスワードの使いまわし」です。

さまざまなインターネット上のサービスがあり、そのサービスごとにIDやパスワードが必要になる現在は、「パスワードを覚えられない」とか「多すぎて管理しきれない」といった理由から、ついつい複数サービスで同じID/パスワードを使ってしまう例も多いと思います。

しかし、これは一見便利ですが、裏を返せば一か所でも情報の流出が発生すれば、すべてのサービスに不正ログインされてしまう可能性があることを意味します。
したがって、「パスワードの使いまわし」は絶対に避けなければなりません。

もう一つ、今回の事件で問題と言えるのが、「検知体制の不備」です。
1月9日から不正ログインが始まっているにも関わらず、「3月末まで気づかない」「利用者からの問い合わせで初めて気づく」というお粗末なものです。
もし利用者からの問い合わせがなければ、最後まで気づかなかった可能性もあります。
したがって、不審なアクセスについて検知し、迅速に遮断するとともに管理者に通知する仕組みを整えることは必須です。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。