JR東日本の共通IDサービス「My JR-EAST」で不正ログインの被害が出ている。10日から11日にかけて約2万1000件が被害にあった上に、再開後の13日にも再度攻撃され、400件が被害にあっている。(ITジャーナリスト・三上洋)
JR東日本の共通IDサービス、13日土曜に再び攻撃受ける
JR東日本の「My JR-EAST」で約2万1000件のアカウントが不正ログインされた事件で、13日にも再び被害が出たことがわかった。
最初に攻撃が行われたのは、9月10日午前2時59分から11 日午前10時55分まで。約1152万件のアクセスがあり、そのうちの約2万1000件がログインされてしまった。さらに13日土曜日にも攻撃があり、 40万件のアクセスのうち、約400件が不正ログインされている(16日19時、JR東日本広報部への取材による)。
時系列でまとめておこう。
・9月12日にJR東日本が「10日から11日にかけて1152万件試行(不正ログインしようとする攻撃)、2万1000件不正ログイン」と発表。「My JR-EAST」を一時停止させる
・9月13日午前9時「My JR-EAST」を再開
・9月13日午後に、再び攻撃を受ける。約40万件の試行があり、約400万件が不正ログインされる。再び「My JR-EAST」を一時停止
・9月16日13時に「My JR-EAST」を再開
最初の被害で一時停止→再開したが、さらに攻撃され400件が不正ログインされしまった。16日19時の時点でサービスを再開しているものの、パソコンからの新規登録などができないなどの障害が出ている。
被害の内容だが、JR東日本広報部によれば「不正ログインに 対してアクセス解析を行ったが、トップページのみしかアクセスしていなかった。トップページでは、利用者の氏名が『◯◯様』と表示されるため、氏名は閲覧 されているが、それ以外の情報へのアクセスはないと思われる」とコメントしている。
今のところ漏れているのは利用者の氏名だけで、他のアカウント情報や、クレジットカードなどの情報は漏れておらず、クレジットカードの不正利用も確認されていないとのことだ。
ただし該当のサービスの中には、クレジットカード情報を扱っ ているサービスもある。たとえば「My JR-EAST」でログインできる「えきねっと」は、クレジットカードを登録する必要があるものだ。犯人側から見 ると、「えきねっと」でのクレジットカードでの不正な決済もできてしまうので、利用者は警戒する必要がある(実際にはトップページの閲覧のみでクレジット カード決済はされていないが、念のためにクレジットカードの利用明細書を確認する)。
JR東日本では、不正ログインされた約2万1000人(10日~11日)、約400人(13日)のアカウントを利用停止にし、メールで個別に「パスワードを変更してください」と連絡をしている。該当する人は、必ずパスワードを変更しよう。
続発する不正ログイン攻撃
今回のJR東日本のトラブルは、「サーバーに侵入される不正アクセスではなく、ユーザーのID・パスワードを使った不正ログイン」(JR東日本広報部)とのことで、いわゆる「パスワードリスト攻撃」もしくは「パスワードの総当たり攻撃」のどちらかと考えていいだろう。
パスワードリスト攻撃については、以前の記事「LINE乗っ取りの原因、パスワードリスト攻撃とは」でも取り上げたように、利用者のIDとパスワード情報が漏れ、その一覧が裏市場で出回っていることが原因の一つだ。もう一つの原因は、ユーザーが同じパスワードを使いまわしていること。この二つによって不正ログイン被害が起きている。
最近起きた事件だけでも、以下のようなものがある。
●リクルート「ポンパレモール」
9月にリクルートの通販サイト「ポンパレモール」で、3万1660件の試行、そのうちの9749件が不正ログインされた。第三者に閲覧された可能性のある情報は、氏名、住所、電話番号、メールアドレス、予約、購入履歴など。
●JR東日本「Suicaポイントクラブ」
8月にJR東日本「Suicaポイントクラブ」が被害に。30万件の試行があり、そのうちの756件が不正ログインされた。
●無印良品
8月の無印良品の通販サイト「無印良品ネットストア」で420万件の試行、そのうちの2万957件が不正ログインされた。
この他にも、いまだに続くLINE乗っ取り、mixiやニコニコ動画などの不正ログインなど、パスワードリスト攻撃と思われるものが続いている。IDとパスワードを使うサービスのほとんどが、何らかの不正ログイン攻撃を受けている状態だ。
この攻撃によって、氏名・利用履歴などの個人情報が漏れるほか、ポイントの不正利用や、場合によってはクレジットカードの不正利用も起きている。金銭的な被害に発展する可能性も高いので、我々ユーザーも対策を立てておく必要がある。
不正ログインの対策としては、以下の三つは絶対に欠かせないものだ。
1:すべてのサービスで別々のパスワードにする
パスワードの使い回しが最大の原因。パスワードは一つずつ異なるものにすること。とても手間がかかる作業だが、安全のためにはマストの対策だ。
2:より長く、複雑なパスワードにする
可能な限り8桁以上で、文字の種類も可能な限り多くする(大文字・小文字・記号・数字などの文字の種類)。
3:一覧表を作って安全管理、もしくはパスワード管理ソフトで
パスワードを覚えることは不可能なので、表計算ソフトで一覧表を作っておくか、パスワード管理ソフトを利用する(一覧表にはパスワードをかけ、そのパスワードだけは覚えておく)。
この三つはPC・スマホのどちらでも、またMac・ Windowsどちらでも欠かせない重要な対策だ。ネット利用者全員が実行すべきことなので、今すぐ始めてほしい。これをしないままだと、不正ログインさ れ、個人情報漏れやポイントの不正利用などの被害にあう可能性が高いからだ。(三上洋)
http://www.yomiuri.co.jp/it/security/goshinjyutsu/20140917-OYT8T50049.html
