ニュース

スマホ向け認証・決済サービス「mopita」、5450アカウント不正ログイン被害

 株式会社エムティーアイ(MTI)は22日、同社が運営するスマートフォン向け会員認証・決済サービス「mopita」において、5450アカウントで不正ログイン被害が発生したことを公表した。

 不正ログインが行われていたのは4月18日2時24分から19日15時55分までの期間で、 5450アカウントが不正ログインに成功されていた。そのうちの4915件で登録会員の生年月日を、5425件で電話番号を、2434件でメールアドレスを、不正アクセス者から閲覧可能だった。一方、クレジットカード番号(下4桁)については閲覧された可能性はないという。

 MTIによると、不正ログインによる課金サービスの利用や退会操作などの被害は現時点で確認されておらず、mopitaに対応している各種サイトへの影響も出ていないとしている。

 MTIでは、不正ログインが発生した期間中にログインのあったすべてのアカウントを対象にパスワードのリセットを実施し、パスワードの再設定を求める通知をメールやウェブサイトを通じて出している。

 このところ、ポータルサイト「goo」や電子書籍サイト「eBookJapan」、NTT東日本の「フレッツ光メンバーズクラブ」会員サイト、JR東日本の会員サービス「My JR-EAST」で、立て続けに不正ログイン被害が発生している。MTIでは詳細は明らかにしていないが、mopitaも同様の手法によるものとみられる。すなわち、他のウェブサービスなどで使用されているID・パスワードのリストを攻撃者が何らかの方法で入手し、それと同じID・パスワードを別のウェブサービスでログイン試行するというものだ。その結果、流出したのと同じID・パスワードをこれらのサイトでも使い回しているアカウントが、不正ログインを許してしまうことになる。

 MTIでは今回の被害を受け、不正ログインへの対応強化に取り組むとともに、会員に対しては、他のサービスと同じパスワードの使用を避けることや、定期的なパスワード変更を推奨するなどの注意喚起を行っていくとしている。

 なお、mopitaの登録会員数は4月18日時点で800万人を超えたことが発表されている。

(永沢 茂)