ニュース

「gooID」に不正ログイン攻撃、10万アカウントが突破される

該当者はパスワードの再設定を、“使い回し”は厳禁

 NTTレゾナント株式会社は4日、「gooID」への不正ログインを試みる攻撃が発生し、すでに約10万アカウントが突破されたことを明らかにした。同社では現在、攻撃者が不正ログインに成功したgooID・パスワードを悪用して実際に会員画面などにアクセスできないよう、一時的に該当アカウントのパスワードをロックする措置をとっている。

 このため、該当アカウントのユーザーが自分のgooIDにログインしようとすると、パスワードの再設定を促すメッセージが表示される。ログインパスワードの再設定ページにおいて、gooID、生年月日、登録メールアドレスを入力して本人確認を行った上で、パスワードを再設定する必要がある。

パスワードロック措置がとられているアカウントで表示される画面(PC版、gooからのお知らせページより画像転載)

 NTTレゾナントは今回の攻撃について、第1報を出した3日夜の時点では、約3万アカウントに対して不正ログインの痕跡が見つかり、それらのアカウントに不正ログインされた可能性があるとしていた。しかし、その後も攻撃が継続するとともに、調査が進むにつれて不正ログインの規模も拡大した。新たに約7万アカウントへの不正ログインが確認され、4日正午時点で、約10万アカウントに不正ログインが確認されたことを発表するに至った。

 また、当初は、ありがちなパスワードなどを総当たりで試行する辞書攻撃(ブルートフォースアタック)とみられていたが、攻撃ログを解析したところ、単一ID・単一パスワードの一対のセットでログインを試行し、成功しなければ次のセットを順に試行していく手法がメインであることも判明してきた。

 すなわち、どこかのウェブサービスで実際に使われているID・パスワードのセットリストを攻撃者が入手して使っていることが考えられ、それと同じ文字列のID・パスワードのセットをgooIDでも“使い回し”しているアカウントが突破された可能性が高い。

 なお、NTTレゾナントによれば、ID・パスワードのセットリストは、同社から漏えいしたものではないとしている。また、不正ログインの試行に使われたIDの文字列の中には、gooIDで使用が認められていない文字種や文字数のものも含まれていたことから、他社サービスで使われていたID・パスワードのセットリストが流出した可能性が高いとみている。

 実際、すでに10万アカウントという規模で不正ログインが成功しているわけだが、ログからは、その何倍ものログイン試行が失敗していることが確認されているという。このことからも、攻撃に使われているID・パスワードのセットリストが、特にgooIDだけに限定されたものではないことがうかがえる。なお、gooIDの現時点での登録数は約1800万アカウント。

 今回の攻撃は、4月2日11時30分ごろに、ログインシステムのエラーログが急激に大量発生したことで発覚した。特定のIPアドレスから、秒間30件を超える機械的なログイン要求が行われていることを検知したという。ただし、攻撃元はある程度分散しており、海外・国内のIPアドレスを一定時間ごとに切り替えるなどしていることから、NTTレゾナントでは4日夕方時点でも攻撃元IPアドレスからのアクセスをブロックする対策はとっていないという。

 NTTレゾナントによれば、現時点で、ユーザーの氏名、性別、郵便番号、住所、電話番号、メールアドレスなどが登録されている「登録情報ページ」へのアクセス、決済用パスワード、口座番号、クレジットカード情報ページヘのアクセスおよび決済利用、gooメール受信箱ヘのアクセスについては確認されておらず、ユーザーからの被害報告もないとしている。

【記事更新 2013/4/4 17:00】
 NTTレゾナントの4日付の続報などをもとに、記事を全面的に書き直しました。

(永沢 茂)