またかよ・・・
ケータイWatchの記事に、 eoIDで6000件以上に不正ログイン、他社と違うパスワード設定を呼びかけ てのがありました。
ケイ・オプティコムは、「eo」や「mineo」などを利用するための「eoID」に対し、外部で入手したID・パスワードを流用して不正なログインが行われたことを明らかにしたそうです。記事によると・・・
同社は8月15日に、特定のIPアドレスからeoIDに対し不正なログインを試みる事象を確認。不正ログインは8月13日22時5分から8月15日21時まで行われ、IPアドレスを指定してログインを遮断するなどの緊急措置が実施された。同社の調査では、同社サーバーへのハッキングによるeoIDの流出ではなく、悪意のある第三者が、不正に入手したユーザーのIDとパスワードを流用する形でログインを試みる「パスワードリスト攻撃」による不正ログインと判明したとしている。
だそうです。昨日のエントリーでドコモのdアカウントユーザーの不正アクセスを受けて2段階認証の設定を推奨する旨のエントリーを上げたばかりですけど、今度は「eo」や「mineo」で有名なケイ・オプティコムさんがやられたみたいですね。
記事にもある通り、「同社サーバーへのハッキングによるeoIDの流出ではない」と断言してますので、他社ののサービスから流出したリストを使っていると推測されます。時期が似通っていますので、ドコモに攻撃を仕掛けたものと同一犯の可能性も捨てきれませんね。
キャリアやMVNOなんかを狙っているのであれば、ドコモがやられたように携帯端末の購入を狙ったものなのかもしれません。ドコモのように簡単に買えてしまうシステムもどうかと思うんですけど、今回のケイ・オプティコムさんでは実被害は出てないようです。
iPhoneなんかの人気機種は海外でもかなりの高額で取引できるようですから、攻撃者にとっても旨味のあるものなんでしょう。某国のテンバイヤーが新機種の発売日に大挙して押し寄せるのは、もう恒例になってますよね。
昨日のエントリーでお伝えしたとおり、パスワードの使い回しはどうしてもいろんなサービスで芋づる式に攻撃の被害を受ける可能性がありますので、パスワード管理ソフトなどを利用してサービスごとに違うパスワードを利用することが望ましいでしょう。
それとしつこいようですが、2段階認証が設定できるサービスに於いては、設定は必須だと思います。2段階認証が絶対ということはないですが、少なくともIDとパスワードだけで突破できないとなると、攻撃者にとっても余計な手間がかかりますので、そこで諦める可能性もあります。設定するに越したことはないですよ。
今後も携帯端末を狙って、キャリアやMVNOのサービスなどが同様の攻撃を受ける可能性もありますので、パスワードの変更や2段階認証などの設定等、可能な限りの対策をすることをお薦めします。