「Ameba」で不正ログイン被害3万8280件、またパスワードリスト攻撃

　株式会社サイバーエージェントが運営するコミュニティサービス「Ameba」において、“リスト型アカウントハッキング（パスワードリスト攻撃）”による不正ログイン被害が6月19～23日にかけて確認された。不正ログインされたIDは3万8280件。仮想通貨である「アメゴールド」「コイン」の不正利用は発生しておらず、クレジットカード情報はAmeba側で保有していない。不正ログイン対象となったユーザーに対しては、すでにメールなどで個別案内を行っているという。

　不正ログインの発生について、サイバーエージェントでは6月23日・24日に公式サイトやスタッフブログなどで発表を行った。それによると、不正ログインが発生したのは6月19日17時27分から23日8時36分。悪意ある第三者がなんらかの形で外部から入手したIDおよびパスワードのリストを使い、Amebaへのログインを試みたとみられる。ログイン試行回数は229万3543回で、3万8280件で不正ログインされてしまった。

　不正ログインされたアカウントでは、登録していたニックネーム、メールアドレス、生年月日、居住地域、性別などが閲覧された可能性がある。

　「アメゴールド」「コイン」については利用履歴を閲覧された可能性はあるが、不正使用は確認されていない。また、Amebaの一部サービスのために登録していた住所、電話番号などは流出していないという。

　運営側では、不正ログインされたアカウントを対象にパスワードリセットを実施した。また、不正ログインの手口であるパスワードリスト攻撃では、利用者側が複数のサービスでIDやパスワードを“使い回し”している場合、また別の被害に遭う可能性が高くなる。このため、直接の被害を受けていない利用者に対しても、パスワード設定の見直しを呼びかけている。