ニュース

@nifty、会員情報ページへの不正ログインが発生、少なくとも2万1184IDが対象

 ニフティ株式会社は17日、「@nifty」会員向けの「お客様情報一覧」ページに不正ログインが行われていたことを確認したと発表した。少なくとも2万1184件のアカウントが不正ログインに成功され、登録してある個人情報などが閲覧された可能性があるとしている。

 現時点で同社からID・パスワードが流出したことは確認されていないという。攻撃者が何らかの手段で入手した他社サービスなどのID・パスワードの組み合わせでログインできるかどうか試行し、同じID・パスワードを使い回していたアカウントが不正ログインに成功されてしまうという、最近多いパターンではないかとみられている。

 ニフティでは18日以降、該当する会員に個別にメール連絡し、パスワードの再設定を求める。また、準備ができしだい、会員サポートページにおいて、@nifty会員が自分のIDが該当するかどうかを確認できるツールを公開する予定。

「お客様情報一覧」などのログインページ

 7月16日10時、「お客様情報一覧」ページへのログイン量が異常に増加したことで、国内の特定のIPアドレスから大量のログイン試行が行われていることが判明。調査の結果、7月14日から16日にかけて、少なくとも2万1184IDに不正ログインが行われていたことが分かった。

 「お客様情報一覧」ページで閲覧された可能性がある情報は、氏名、住所、電話番号、生年月日、性別、秘密の質問と回答、契約状況、利用料金、メールアドレスなどで、契約コースにより異なる。一方、クレジットカード情報は一部をマスキングした状態で表示しているため、決済手段として不正利用はできないとしている。また、現時点では会員情報などの改ざんや、有料サービスの不正利用は確認されていないとしている。

 なお、「お客様情報一覧」ページのほか、@niftyのID・パスワードでログインするページではすでに、不正ログイン元となったIPアドレスからのアクセスを遮断する措置をとっている。ただし、不正ログインされたアカウントであってもログインロックなどの措置はとられておらず、正規ユーザーなどがログインできる状態となっている。「ログイン履歴」確認ページにもログインできるため、 @nifty会員は身に覚えのないログイン履歴がないか確認するとともに、早急にパスワードを再設定する必要がある。

 最近の不正ログイン事例の増加を受け、ニフティでは11日、会員向けに「パスワードの不正利用を防ぐために」と題した注意喚起を行い、パスワードの使い回しの危険性などを訴えていたが、その矢先に不正ログイン被害が発生してしまった。

ニフティが7月11日付で出していた「パスワードの不正利用を防ぐために」(一部)

(永沢 茂)