画像:株式会社スクウェア・エニックスより引用
株式会社スクウェア・エニックスは2022年10月7日、同社が運営するオンラインコンテンツ用ウェブサービス「スクウェア・エニックス・アカウント」に対する外部からのリスト型攻撃を検出したと明らかにしました。
説明によると、攻撃者はネットユーザーの一定数が同じパスワードを使いまわす傾向にあることを利用した「パスワードリスト型攻撃」により、不正ログインを試みているとのこと。同社はこのため、該当アカウントのパスワードを強制リセットし、正規ユーザーのアクセスを待つ対策に出ていますが、状況によっては全アカウントの強制リセットも検討すると説明しています。
同社は攻撃者が所有するリストについて「他社サービスで流出したもの」と分析しています。同社はこのため、ユーザーに他社サービスと異なるパスワードや類推できないパスワードを設定するよう呼び掛けたほか、ワンタイムパスワードによる認証機能強化を推奨。ワンタイムパスワードは無料のソフトウェアトークンも用意しているとして、導入を検討するよう呼び掛けています。
参照不正アクセスとアカウント管理に関するご注意/株式会社スクウェア・エニックス