Amebaを運営しているサイバーエージェントが本日発表いたしました。
・「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い
※リンク先の内容は一番下に転記します。
ログイン試行回数は約223万回、そのうちログインされてしまったアカウントは約5万件です。
4月29日~5月7日ですから、完全にゴールデンウィーク狙いですね。
対象者はAmebaから連絡しているとのことですので、今現在メッセージやメール等が無い方は今回ログインされていないと言うことです。
ですが、Amebaは念のためユーザー全員にパスワード(心配なら登録メールアドレスも)変更を呼びかけていますので、
ご心配でしたらパスワードの変更をおすすめします。
方法は
パソコンの場合、マイページの右上の「設定」からパスワードの変更です。
スマートフォンの場合、Amebaのアプリ左上の「メニュー」から、
設定・お問い合わせ → アカウント → Amebaの登録情報 → パスワードを変更する
です。
一番重要なのは、今回Amebaがハッキングされて情報が流出したのではないと言うことです。
他の何かのサービスからユーザー名(メールアドレス)とパスワードが盗まれ、それをAmebaでも使えないかな~っとその盗んできたユーザー名とパスワードで総当たりをしたというのが今回のハッキングです。
その総当たりの回数が223万回、そのうちログインできちゃったのが5万件・・・ってことなのです。
Ameba自体のセキュリティには今回問題はありません。
(200万回以上のアタックを許してしまい5万件ログインされてしまったことには問題がありますが)
こういうのを「リスト型アカウントハッキング」と呼びます。
私のブログでも過去に何度も記事にさせていただいております。
本当にやばいのは、Amebaではなく、いろいろなサービスで同じユーザー名(メールアドレス)とパスワードを使うことなのです。
個人的にはパスワード帳を作ってパスワード管理をなさることをおすすめします。
パスワードは覚える時代ではもう無いのです。
・パスワード管理はパスワード帳を作った方が安全!?
このAmebaをアタックしてハッキングした犯人の次のターゲットは、greeやミクシィか、amazonか、楽天か、それともオンラインバンキングか・・・・
同じパスワードを使っていてAmebaに入られた方が見えたなら、他のサービスもすでに危ないのです。
以下、サイバーエージェントが発表した内容の転記です。
-----------------------------------------------------------------------------------------
プレスリリース
2016年05月11日
「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い
弊社が運営する「Ameba」にて、登録されたお客さまご本人以外の第三者による不正なログインが発生したことを確認しました。不正ログインの攻撃は断続的に発生していることから、今後も対象件数や状況など、変動する可能性がございますが、現時点で確認している事実と弊社の対応状況をご報告いたします。
この度、発生した不正ログインは、2016年4月29日(金)20時27分から「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、2016年5月7日(土)17時46分の時点で不正ログイン試行回数は2,236,076回、不正ログインされたアカウント数は、50,905件となります。
なお、第三者に閲覧された可能性のある「Ameba」の登録情報(ニックネームやメールアドレス、生年月日など)について、改ざんの事実は確認されていません。
今回、不正ログインを受けた50,905件のログインID(アメーバIDまたはメールアドレス)については、今後の被害拡大などを防ぐため、2016年5月6日(金)と2016年5月10日(火)に当社の判断でパスワードのリセットを行い、これを保有するお客さまに対しては、その事実と、リセットしたパスワード再設定のお願い、問題事象があった場合の問い合わせ方法など、個別にメールでご案内しております。また、本件に関して、渋谷警察署生活安全課に不正ログインに関する被害を届け出ています。
今回の不正ログインの手法は、昨今インターネットサービスで発生しているものと同様に、他社サービスから流出した可能性のあるID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていることから、「Ameba」をご利用のすべてのお客さまに対しても、パスワード変更をお願いしてまいります。
この度は、「Ameba」をご利用いただいているお客さまに対して、ご心配、ご迷惑をおかけすることとなりましたこと、深くお詫び申し上げます。今回の事態を重く受け止めており、お客さまに安心して安全にご利用いただくため再発防止、セキュリティ体制のさらなる強化に努めてまいります。
■不正ログイン概要
<期間>
2016年4月29日(金)20時27分~2016年5月7日(土)17時46分
<件数>
不正ログイン対象ログインID数 : 50,905件
不正ログイン試行回数 : 2,236,076回
<該当するIDにおいて、閲覧された可能性のある情報>
・「Ameba」に登録されたお客さまの情報 (ニックネーム、メールアドレス、生年月日、居住地域、性別など)
・「Ameba」の仮想通貨「コイン」の履歴情報
※クレジットカード情報については、弊社システムでは保有しておりません。
<不正ログインの方法>
リスト型アカウントハッキング(リスト型攻撃)
※「リスト型アカウントハッキング(リスト型攻撃)」について何らかの手段により他者のID・パスワードを入手した第三者が、これらの ID・パスワードをリストのように用いて様々なサイトにログインを試みることで、個人情報の閲覧等を行うサイバー攻撃
※「リスト型アカウントハッキング(リスト型攻撃」に関する総務省資料:「リスト型アカウントハッキングによる不正ログインへの対応方策について」
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html
■「Ameba」をご利用のお客さまへのお願い
本件は、他社サービスから流出した可能性のあるID・パスワードを利用して行っているものであると推測されるため、個別にご連絡を差し上げているお客さまに限らず、他社サービスと同一のID・パスワードをご利用の方はパスワード変更のご対応をいただけますようお願いいたします。また、以下のようなログインID・パスワードを設定している場合、第三者にアカウントへ不正にログインされる可能性がございますので、パスワードを推測されにくいものに変更することをお勧めいたします。
・他社サービスと同一のログインID・パスワードの組み合わせを使用している
・パスワードに「ログインID」が含まれている
・パスワードが「同じ文字の連続」になっている
・パスワードが「生年月日」や「電話番号」になっている
・パスワードが「数字のみ」になっている
・パスワードが「password」などの単語のみ使われている
<パスワードの変更方法>
以下URLよりログインを行い、パスワード変更後、保存してください。
PC・スマートフォン https://user.ameba.jp/edit/password/input.do
フィーチャーフォン https://m.user.ameba.jp/m/ucs/editPasswordList.do
■本件に関するお客さまのお問い合わせ先
PCからのお問い合わせ http://helps.ameba.jp/inquiry.html
スマートフォンからのお問い合わせ https://s.amebame.com/#contact
フィーチャーフォンからのお問い合わせ http://m.helps.ameba.jp/inq/m/opinion/input
■本リリース内容に関するお問い合わせ先
株式会社サイバーエージェント
Ameba広報担当 ameba_pub@cyberagent.co.jp
