ニュース

@wiki、ユーザーID・パスワードが流出。ページの改ざん被害も

 Wikiサービス「@wiki」を運営する有限会社アットフリークスは3月9日、ユーザー用の管理情報およびデータの流出が確認されたと発表した。流出した個人情報は、現在登録中のユーザーのユーザー名、パスワード、メールアドレス、登録時のIPアドレス。無料サービスのため、クレジットカード情報、住所、氏名については管理情報として登録されておらず流出はないとしている。

 運営は緊急的措置として@wikiの全ユーザーパスワードを強制的にリセットし、ユーザーにパスワード変更を呼びかけている。パスワード変更は、パスワード再発行フォーム(http://atwiki.jp/forgetpw.php)から強制的にパスワードを再発行し、管理画面から再度パスワードを変更することで行う。データの流出が確認されたサーバーも発表された。

 なお昨年から、流出したID(登録メールアドレス)とパスワードを使った不正アクセス被害が急増している。このため、@wikiで登録したメールアドレスとパスワードを他サイトでも使い回している場合は、流出したアカウント情報をもとに、悪意の第三者が大手サービスで不正アクセスを試みるおそれが高いので、他サイトの登録メールアドレスやパスワードを変更しておくことをお勧めする。

@wikiで公開された流出に関するお詫び

 アットフリークスによると、パスワードは単一方向の暗号方式を用いて暗号化しているという。しかし、すでに@wikiサイトでページ改ざんが複数確認されており、流出したIDとパスワードですでに不正アクセスが行われていると考えられる。また、@wikiのページにアクセスしたらウイルスを仕込まれたという報告も掲示板などで行われている。

 編集部で@wikiの複数ページにアクセスしてみた範囲ではウイルス感染は確認できておらず、アクセスしたPC上で動く不正なプロセス(ユーザー名で実行されているsvchost.exeなど)も確認できていない。しかし、IDとパスワードが流出しており、運営がパスワードをリセットするまではページ改ざんが可能であったことから、ページにアクセスしただけでバックドアを開けられるスクリプトなどが仕込まれた可能性は否定できない。

 登録ユーザーはパスワード変更を行った方が良いと思われるが、捨てメールアドレスや専用メールアドレスで登録していた場合はあえて変更せずにメールアドレス自体を捨ててしまった方が安全だろう。登録ユーザー以外は、運営から安全が宣言されるまでは、PCでもスマホでも、@wikiサイトへのアクセスを控えた方が良いと思われる。

 公開中のページで不正アクセスによる改ざんのおそれがなくなったというアナウンスはまだ行われていないため、当記事では、当該お詫びページへのリンクも控えておく。確認したい場合、「【お詫び】ユーザ情報流出に関するお知らせ」はこちら(http://www1.atwiki.jp/guide/pages/2606.html)。

【ID・パスワード流出が確認されたサーバー】
www4.atwiki.jp
www17.atwiki.jp
www26.atwiki.jp
www30.atwiki.jp
www36.atwiki.jp
www37.atwiki.jp
www38.atwiki.jp
www39.atwiki.jp
www40.atwiki.jp
www41.atwiki.jp
www42.atwiki.jp
www43.atwiki.jp
www44.atwiki.jp
www45.atwiki.jp
www46.atwiki.jp
www47.atwiki.jp
www48.atwiki.jp
www49.atwiki.jp
www50.atwiki.jp
www51.atwiki.jp
www52.atwiki.jp
www53.atwiki.jp
www54.atwiki.jp
www55.atwiki.jp
www56.atwiki.jp
www57.atwiki.jp
www58.atwiki.jp

(工藤 ひろえ)