ご確認を・・・
ITmediaの記事に、 ドコモ、dアカウントユーザーに2段階認証呼び掛け 不正ログイン問題受け てのがありました。
NTTドコモは8月14日、外部からの不正なログインによりユーザーのdアカウントが不正使用され、「ドコモオンラインショップ」で「iPhone X」が大量に不正購入された問題を受け、dアカウントユーザーに対して、2段階認証を利用するよう改めて呼び掛ける告知を出したそうです。記事によると・・・
dアカウントの2段階認証は、IDとパスワードによる認証に加え、ユーザー自身の端末に送信されるセキュリティコードによる認証を追加する方式。2段階認証を設定していたユーザーは、今回の不正ログインの被害にあっていないという。また、他社サービスとは異なるパスワードを設定することも呼び掛けている。
だそうです。既にご存知のかたも多いかと存じますが、「ドコモオンラインショップ」が7月末に、リスト型攻撃による不正ログインが1800件あり、うち1000件で、悪意のある第三者が勝手にユーザーのdアカウントを使用し、「iPhone X」を不正購入していた事件がありました。
上記事件を受けての告知だと思うんですけど、dアカウントが漏洩したのか、他のサービスから漏洩したIDとパスワードでアタックしているのかが分からず、原因は不明ですけどとりあえずdアカウントは2段階認証の設定はもちろんのこと、既存のパスワード変更もしたほうが良いでしょう。
しかし、不正ログインが1800件あって、うち1000件で、iPhoneXの購入に成功しているのは成功率高杉じゃないですかねぇ・・・
攻撃元のIPが韓国と中国らしいとの情報もあるようですけど、コレばかりは当然、生IPとも思えないので鵜呑みにするわけにも行きません。
リスト型攻撃の場合、IDとパスワードの組み合わせが漏洩してしまっている以上、利用しているウェブサービスは芋づる式にアタックを掛けられてしまうと防ぎようがありません。やはり、パスワードの使い回しは危険ということは間違いありません。
昨日の本ブログで、 件名・本文に本物のパスワードが書いてある脅迫メールが出回っているそうです とのエントリーを上げましたが、やはり2段階認証が可能なサービスはその設定をしたほうが良いでしょうね。というか、もう2段階認証は必須だと思います。
Googleからオリジナル認証端末「Titan Security Key」を発表 とのエントリーでもご紹介したように、かのGoogle様でも全社的に2段階認証のUSBキーの利用を義務付けたところ、フィッシングの被害が0件になったとの効果も実際にあるようです。
Microsoft、Google、Amazon、Apple等々のサービスなどでは、間違いなく2段階認証の設定が可能になっています。まだ、2段階認証を設定されていないサービスがある場合などは、この機会にぜひ設定してみてはいかがでしょうか?