「はてな」で不正ログイン、2398件のアカウント被害、ギフト券交換申請も

　株式会社はてなは20日、パスワードリスト型攻撃によるものとみられる不正ログインが発生したとして、ユーザーに注意喚起を行った。

　はてなによると、6月19日にユーザーから「メールアドレスが変更されている」という問い合わせがあり、調査の結果、複数のアカウントに不正ログインが行われていることを確認。不正ログインは6月16日から開始されており、対応として疑わしいIPアドレスからのアクセスを遮断した。

　不正ログインの試行回数は約160万回（6月19日18時時点）で、不正ログインを受けたアカウント数は2398件。

　被害としては、不正ログインによりメールアドレスを変更し、Amazonギフト券交換の申し込みを行ったアカウントが3件あったが、ギフト券交換はスタッフが目視で確認の上で手続きを行っているため、交換には至っていない。また、この3件以外にメールアドレスが変更されたアカウントはなかった。

　それ以外のユーザーについても、不正ログインを受けたアカウントについては、はてなに登録している個人情報のうち氏名、郵便番号、生年月日が閲覧、変更された可能性や、メールアドレスが閲覧された可能性、クレジットカード情報を登録している場合はカード番号の下4桁を閲覧された可能性がある。

　なお、クレジットカード情報に関して、下4桁以外の番号および有効期限が閲覧された可能性はなく、今回の不正ログインで金銭的被害は発生していないという。

　はてなでは、不正ログインを受けたユーザーについては、ログイン状態を強制的に停止してログアウト状態にするとともに、パスワードをランダムな文字列に変更し、パスワードを再設定するようメールで連絡している。メールアドレスを変更されてしまった3人については、別の方法で連絡を行っている。

　はてなのアカウントに対しては、何らかの方法で入手したIDとパスワードのリストを使ってログインを試みる、パスワードリスト型攻撃による不正ログインが2月に確認されており、今回も同様の攻撃が行われているとみられる。2月の不正ログインを受けて、メールアドレスの変更時には変更前のアドレスにも通知メールを送信するようにしたため、ユーザーからの指摘がいち早くあったという。

　はてなでは、他社サービスと同一のID（メールアドレスまたはユーザー名）とパスワードを使用しているユーザーに対して、安全のため登録メールアドレスが自身のものであるかを確認した上で、パスワードを変更することを強く推奨している。