@nifty、会員情報165件分が不正閲覧、使い回しパスワードが原因か

　ニフティ株式会社は24日、「@nifty」の会員向けに提供している「お客様情報一覧」ページで不正ログイン事例が発生し、165件の会員情報が第三者に閲覧された可能性があると発表した。該当者にはメールや電話で個別連絡を行い、パスワード再設定を求めていく。また、不正ログイン対象IDかどうかチェックするためのツールをウェブサイトで公開した。

不正ログインの状況と対応策をまとめた告知ページ

　現時点では、ニフティ社内からのID・パスワード漏えいは確認されていない。このため、第三者が他社サービスのID・パスワードを何らかの方法で入手し、@niftyのお客様情報一覧ページでも使い回せるか手当たり次第に試行した可能性が考えられるという。この手口は、一般的に“パスワードリスト攻撃”などと呼ばれる。

　不正ログインは1月16日午前1時57分～6時37分に行われた。不正ログインの発信元となるIPアドレスは判明しており、すでにアクセスを遮断した。

　不正ログインが成功してしまった場合、会員情報ページでは氏名、住所、電話番号、生年月日、性別、秘密の質問、契約状況、利用料金、メールアドレスなどが閲覧された可能性がある。クレジットカード情報は一部をマスキングしているため、決済手段としての不正転用はできないとしている。

　今回の不正ログインによる会員情報の改ざんや有料サービスの不正利用は、現時点では確認されていない。

　@nifty会員情報ページにおける不正ログイン事例は、2013年7月にも発生している。この際は少なくとも2万1184件の会員情報が不正閲覧されたとみられる。ニフティでは、二要素認証の導入、不正ログイン検知・遮断システムの強化などを今後進めるとしている。