ネットサービス等のID・メールアドレスとパスワードの見直しを!

企業の情報流出やら、不正ログインやらのニュースが止まらず毎月のように流れてきます。

流石に慣れましたが、慣れてよいものではありません。

ヤマト運輸に不正ログイン

ヤマト運輸のクロネコメンバーズWebサービスで、パスワードリスト攻撃による不正ログインがあり、顧客情報が閲覧された可能性があると7月24日に発表されました。

http://www.kuronekoyamato.co.jp/ytc/info/info_190724.html

閲覧された可能性のある情報
  • クロネコID
  • メールアドレス
  • 利用の端末種別(パソコン、携帯、スマホ)
  • 氏名
  • 氏名ふりがな
  • 電話番号
  • 性別
  • 郵便番号
  • 住所
  • クレジットカード情報(カード番号の下4桁、有効期限、氏名)
  • アドレス帳情報(氏名・住所・電話番号)
不正ログインの経緯
  1. 2019年7月23日(火)
  2. 特定のIPアドレスからの不正なログインを確認
  3. 該当のIPアドレスからのログインを遮断
調査の結果

不正なログインに使用されたID・パスワードはヤマト運輸で使用されていないものが多数含まれ「パスワードリスト攻撃」による不正ログインと判明。

  • 不正ログイン件数:3,467件
  • 不正ログイン試行件数は約3万件
ヤマト運輸の対応策

不正ログインのあったIDは、パスワードを変更しなければ使用できないように対策済。

対象顧客へは、個別に案内するとしています。

次はどこか?次々来るぞ!

今回のヤマト運輸の件は、パスワードリスト攻撃としています。

どのネットサービスでも同じID・メールアドレスとパスワードを利用しているユーザーの情報を狙ったものでしょう。

銀行など、キャッシュサービスとは異なり、セキュリティ機能を高めることで、ログインが面倒に感じられサービスの利用を控えられても困りますので、セキュリティがゆるくなりがちになるサービスを狙われているのではと思います。

今後の色々な企業のサイトで、不正ログインによる情報の流出などが続いてくるでしょう。

当然、それぞれの企業も対策を取っては来るでしょうが、費用もかかりますし、セキュリティを強化することで逆に利用が面倒に感じられ、利用を控えられても困ると思いますので、色々と大変だと思います。

各種サービスに登録しているID・パスワードの確認

まずは、ユーザー自身で対策を取らないと危険です。

今までは、企業やサービス提供者に任せっきりだった人も多いのではないでしょうか?

これからは、そうは問屋が卸してくれません。

ネット上でメールアドレスが漏れているかの確認ができますが、絶対ではありません。

タイムラグもありますし、そもそも流出情報が公開されていないかもしれません。

安易にパスワードを使いまわしたり、以前利用したものに戻したり、想像されやすいものを利用すれば、万一何処かで流出していたら自分自身で登録したIDとパスワードを利用され、他のサービスから個人情報やクレジットカードなどを閲覧されてしまう可能性があります。

そして、ネット上の犯罪者がネット上で完結させれば、捕まらずに次々問題が起こっていますので、その危険度がより高まっています。

その前にセキュリティチェックを忘れずに

早速、IDとパスワードのチェックに入るのは良いのですが、その前にあなたのデバイス(パソコンやスマホ)は安全でしょうか?

折角、各種ネットサービスのパスワードを変更しても、その情報が登録する側から漏れていたのではなんにもなりません。

最近では、ブラウザーのアドオンからの情報流出や、スマホアプリからの流出もありますので、セキュリティが万全の状態で行いましょう。

まとめ

ヤマト運輸にパスワードリスト攻撃による不正ログイン

クロネコメンバーズWebサービスで、顧客情報が閲覧された可能性があると発表されました。

閲覧された可能性のある情報は、メールアドレス、氏名、電話番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)などです。

不正ログイン調査の結果

ヤマト運輸で使用されていないID・パスワードが多数含まれ「パスワードリスト攻撃」による不正ログインと判明。

当たり前ですがパスワードの使い回しには注意

他で登録したIDとパスワード(使い回し)を利用され、他のサービスから個人情報やクレジットカードなどを閲覧されてしまう可能性があります。

パスワードの変更前にセキュリティチェックを

あなたのデバイス(パソコンやスマホ)は安全でしょうか?

まずは、安全なデバイスかの確認が第一です。