「gooID」全アカウントへのログインを一律ロック、パスワード再設定を徹底

　NTTレゾナント株式会社は9日、4月に入って発生していた「gooID」の不正ログイン被害について、これまでの経緯と実施した対策をまとめた報告（終報）を発表した。不正ログインを受けたアカウントだけでなく、その他すべてのアカウントへのログインをいったんロックし、ユーザーに対してパスワードの再設定を呼び掛ける。

　不正ログイン被害は、他社サービスから流出したとみられる大量のID・パスワードの文字列のセットを使って、gooIDのログインシステムに対して次々と機械的にログイン試行していたもの。それらのID・パスワードのセットと同じ文字列をgooIDでも“使い回し”していたアカウントが不正ログインに成功されてしまった可能性がある。

　NTTレゾナントでは、機械的なログイン試行が発生していることを4月2日に確認後、4月1日8時17分から4月2日9時39分までの間に攻撃者からの不正ログインに成功されてしまったと疑われる3万1372アカウントを特定。攻撃者からそれ以上ログインされるを防ぎ、アカウント情報を保護するための措置として、既存のID・パスワードではログインできないようロックした。その上で、該当ユーザーに対して、ログインパスワードの再設定ページでパスワードを再設定するよう案内した（本人確認のためにgooID、生年月日、登録メールアドレスの入力が必要）。

　追って4月4日には、同日11時までに新たに不正ログインの痕跡を確認した6万7335アカウントについても、ログインをロック。

　さらに9日までに、不正ログインが確認された1万9アカウントについても順次ログインをロックしてきたとしている。

　これらを合計すると、攻撃者が保有するID・パスワードのセットで不正ログインに成功されたgooIDは、10万8716アカウントに上る。

　ただし、攻撃者によるユーザーの個人情報へのアクセスや登録情報の改ざん・消失・流出、決済利用、gooメール受信箱へのアクセスは確認されていないとしている。あわせて、データセンター内への不正プログラムの侵入や、NTTレゾナントからのユーザー情報流出などの事実も確認されていないという。

　NTTレゾナントによると、現時点において一連の集中的な不正ログイン行為は終息の様相。しかし、ユーザー情報の保護に万全を期すため、不正アクセスを受けたアカウント以外のgooIDユーザーにも、強制的にパスワードの再設定を促すこととした。すでにパスワード再設定を依頼するメールは送信していたが、今回、4月9日19時からgooIDの全アカウントへのログインを一律にロック（4月3日18時以降にユーザーがパスワードを再設定したアカウントおよび4月7日0時以降に新規取得されたアカウントを除く）。ユーザーがパスワードを再設定した後でなければロックが解除されないようになっている。

　NTTレゾナントでは、「他社サービスにおけるパスワードの使い回しではない、全く別の強固なパスワード」を設定するよう求めている。なお、gooIDは現在、約1800万アカウントが登録されているという。