ニュース
ニコニコにまた不正ログイン発生、ID・パスワードの使い回しに注意を
2018年7月10日 18:50
動画サービス「niconico」の一部ユーザーのアカウントに対して「リスト型アカウントハッキング」とみられる不正ログインがあったとして、株式会社ドワンゴが9日に注意情報を発表した。不正ログインされたことが判明しているアカウントにはメール連絡を行っており、従来のパスワードではログインできないように処置を施したという。ログイン停止措置が適用されたアカウントでは、サービスログイン時にポップアップメッセージで警告が表示されるほか、Twitter、Facebook、LINE、Google、Yahoo! JAPAN ID、PlayStation Networkなど外部サービスとのログイン連携が解除される。
niconicoでは5月上旬にも同様の攻撃が発生しており、数百万回にもおよぶ不正ログイン試行を観測したという。
不正ログインされた場合、性別、生年月日、メールアドレスなど、ユーザーの登録情報が第三者に閲覧/変更されたり、動画やコメントのなりすまし投稿を行われる可能性がある。
「niconico」だけでなく、他のサービスも攻撃の標的にされる可能性も
リスト型アカウントハッキングとは、IDとパスワードの組み合わせのリストを攻撃者が何らかの方法で入手し、その組み合わせでログインできるかどうか複数のサービスで試みる手口だ。ユーザーが複数のサービスで同じID・パスワードの組み合わせを使い回している場合、どこかのサービスからリストが流出してしまうと、他のサービスでも不正ログインされてしまうことになる。今回はniconicoでの不正ログインが確認されているが、他のサービスも攻撃の標的にされる可能性がある。
また、ドワンゴによれば、リスト型アカウントハッキングの手口では、攻撃者の手元にあるリストの精度を高めてから(その組み合わせでログインができるかどうかを確かめてから)目的の犯行に及ぶことが見込まれるという。
そのため、不正ログインを受けたniconicoのアカウントでは実際の被害がなくとも、niconicoへのログインが成功したことで、他のサービスでも同じID・パスワードでログインできる可能性が高いと攻撃者に判断されてしまい、同じ組み合わせを用いている他のサービスにおいて被害が発生する場合があると説明。niconico上で「身に覚えのないログイン履歴があった」「従来のパスワードではログインできないようになっていた」場合には、niconico以外のサービスにおいても、ID・パスワードの見直しすることを呼び掛けている。
パスワードを使い分けている人は5%程度、被害を受ける前に見直しを
LINEが5月に行った「サイバーセキュリティリテラシー調査」では、サービスごとに異なるパスワードを使う人は全体で5%程度にとどまるという結果が出ており、パスワードの使い回しによる危険性を把握しているユーザーが依然として少ないことが分かった(6月12日付関連記事LINEのフィッシング詐欺を見抜くには? 被害に遭う前に覚えておきたいこと参照)。
実際に被害が起こる前に、各サービスで登録したログイン情報は定期的に見直しておきたい。例えば、サービスによってはパスワードによる認証に加えて、確認コードなどを使った2段階認証システムを導入している。また、ログイン履歴からユーザーのログイン日時や接続元を確認することができる。もし、身に覚えのないログインを確認したときは、サービスごとのパスワードの見直しを行いたい。