ニュース

パスワードリスト攻撃再び、「Potora」で不正ログイン被害323件

 NTTコムオンライン・マーケティング・ソリューション株式会社が運営するポイントサービス「Potora」で19日、“パスワードリスト攻撃(アカウントリスト攻撃)”によるものとみられる不正ログインが発生していたことが分かった。

 不正ログインされたアカウントは323件で、ニックネームとポイント獲得履歴を不正に閲覧された可能性があるという。また、このうちの4件については、氏名、郵便番号、性別などのプロフィール情報も不正に閲覧された可能性があるとしている。

 Potora事務局では該当者に対してメールで連絡するとともに、全会員に対してパスワードの変更を求めている。

 19日13時ごろ、特定のIPアドレスからの機械的なログイン試行を検知し、調査したところ、一部のアカウントで不正ログインの痕跡を確認。被害拡大を防ぐため、同日19時からサービスを停止していた。21日にサービスを再開しており、新たにログインするにはパスワードの変更が必要となる。

 パスワードリスト攻撃は、どこかのサービスから流出したID・パスワードの組み合わせのリストを使って、別のサービスでログインできるかどうか試行していく手口。複数のサービスでそれと同じ文字列のID・パスワードを使い回ししている人のアカウントが、攻撃者に不正ログインされてしまうことになる。

(永沢 茂)