企業の情報流出やら、不正ログインやらのニュースが止まらず毎月のように流れてきます。
流石に慣れましたが、慣れてよいものではありません。
ヤマト運輸に不正ログイン
ヤマト運輸のクロネコメンバーズWebサービスで、パスワードリスト攻撃による不正ログインがあり、顧客情報が閲覧された可能性があると7月24日に発表されました。
http://www.kuronekoyamato.co.jp/ytc/info/info_190724.html
閲覧された可能性のある情報
- クロネコID
- メールアドレス
- 利用の端末種別(パソコン、携帯、スマホ)
- 氏名
- 氏名ふりがな
- 電話番号
- 性別
- 郵便番号
- 住所
- クレジットカード情報(カード番号の下4桁、有効期限、氏名)
- アドレス帳情報(氏名・住所・電話番号)
不正ログインの経緯
- 2019年7月23日(火)
- 特定のIPアドレスからの不正なログインを確認
- 該当のIPアドレスからのログインを遮断
調査の結果
不正なログインに使用されたID・パスワードはヤマト運輸で使用されていないものが多数含まれ「パスワードリスト攻撃」による不正ログインと判明。
- 不正ログイン件数:3,467件
- 不正ログイン試行件数は約3万件
ヤマト運輸の対応策
不正ログインのあったIDは、パスワードを変更しなければ使用できないように対策済。
対象顧客へは、個別に案内するとしています。
次はどこか?次々来るぞ!
今回のヤマト運輸の件は、パスワードリスト攻撃としています。
どのネットサービスでも同じID・メールアドレスとパスワードを利用しているユーザーの情報を狙ったものでしょう。
銀行など、キャッシュサービスとは異なり、セキュリティ機能を高めることで、ログインが面倒に感じられサービスの利用を控えられても困りますので、セキュリティがゆるくなりがちになるサービスを狙われているのではと思います。
今後の色々な企業のサイトで、不正ログインによる情報の流出などが続いてくるでしょう。
当然、それぞれの企業も対策を取っては来るでしょうが、費用もかかりますし、セキュリティを強化することで逆に利用が面倒に感じられ、利用を控えられても困ると思いますので、色々と大変だと思います。
各種サービスに登録しているID・パスワードの確認
まずは、ユーザー自身で対策を取らないと危険です。
今までは、企業やサービス提供者に任せっきりだった人も多いのではないでしょうか?
これからは、そうは問屋が卸してくれません。
ネット上でメールアドレスが漏れているかの確認ができますが、絶対ではありません。
タイムラグもありますし、そもそも流出情報が公開されていないかもしれません。
安易にパスワードを使いまわしたり、以前利用したものに戻したり、想像されやすいものを利用すれば、万一何処かで流出していたら自分自身で登録したIDとパスワードを利用され、他のサービスから個人情報やクレジットカードなどを閲覧されてしまう可能性があります。
そして、ネット上の犯罪者がネット上で完結させれば、捕まらずに次々問題が起こっていますので、その危険度がより高まっています。
その前にセキュリティチェックを忘れずに
早速、IDとパスワードのチェックに入るのは良いのですが、その前にあなたのデバイス(パソコンやスマホ)は安全でしょうか?
折角、各種ネットサービスのパスワードを変更しても、その情報が登録する側から漏れていたのではなんにもなりません。
最近では、ブラウザーのアドオンからの情報流出や、スマホアプリからの流出もありますので、セキュリティが万全の状態で行いましょう。
まとめ
ヤマト運輸にパスワードリスト攻撃による不正ログイン
クロネコメンバーズWebサービスで、顧客情報が閲覧された可能性があると発表されました。
閲覧された可能性のある情報は、メールアドレス、氏名、電話番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)などです。
不正ログイン調査の結果
ヤマト運輸で使用されていないID・パスワードが多数含まれ「パスワードリスト攻撃」による不正ログインと判明。
当たり前ですがパスワードの使い回しには注意
他で登録したIDとパスワード(使い回し)を利用され、他のサービスから個人情報やクレジットカードなどを閲覧されてしまう可能性があります。
パスワードの変更前にセキュリティチェックを
あなたのデバイス(パソコンやスマホ)は安全でしょうか?
まずは、安全なデバイスかの確認が第一です。
コメント