ヤマト運輸の会員サービス「クロネコメンバーズ」で会員のアカウントの一部に不正ログイン被害が発生したそうです。
自分のアカウントが大丈夫かを確認する方法と、今後同様の被害に遭わないための対策について。
クロネコメンバーズのアカウントへの不正ログイン被害
すでに報じられていますが、ヤマト運輸の利用者向け会員サービス「クロネコメンバーズ」のウェブサービスで外部からの不正アクセスが行われ、次の情報が漏洩しました。
- クロネコID(ログインID)
- メールアドレス
- 利用している端末の種別
- 氏名とそのふりがな
- 電話番号
- 性別
- 郵便番号と住所
- クレジットカード情報の一部(下4桁、有効期限、氏名)
- アドレス帳に登録した情報(氏名、住所、電話番号)
不正ログインの件数は3,467件。不正アクセスの試行回数は約3万件とのこと。
クロネコのサーバーがクラックされたわけではなく、通常のアクセス手段を介したパスワードリスト攻撃だったそうです。
リンク: クロネコメンバーズにおける不正ログインについて(ヤマト運輸)
まず、自分のアカウントが対象かどうかをチェックする
今回は被害に遭ったアカウントが特定されており、当該アカウントのユーザーには個別に連絡されているということですが、クロネコメンバーズをお使いの方は念の為自分のアカウントが無事かどうかを確認しましょう。
手順は簡単。クロネコメンバーズに通常通りログインできるかどうか確認するだけです。
不正アクセスされたアカウントはパスワードを変更しなければログインできないよう対策されています。
したがって、アクセスできれば自分のアカウントはひとまず無事ということです。
パスワードの使いまわしは即刻やめるべき
さて、今回の不正アクセスの手法である「パスワードリスト攻撃」は、犯人の手元にある、どこかから漏洩したIDとパスワードを使って、任意の(アクセスする旨味のありそうな)サイトにアクセスするというものです。
ログインの試行回数が約3万回で、実際にログインできたアカウント数が3千数百件ということから、使われたリストはクロネコから流出したものではなく、別のサイトで漏れたものが流用されたのだと思われます。
約3万人の10%以上が複数のサイトでパスワードを使いまわしていて、そこを犯人に突かれたということです。
このように、複数のサイトやサービスでパスワードを使いまわしていると、どこか一箇所で情報が漏れると他のサービスまで不正アクセスの被害に遭うことがよくわかる事例です。
今回の事案では住所、氏名、電話番号という重要な個人情報とともに、「パスワードを使い回すくらいのセキュリティ意識の人」ということもバレてしまいました。
クロネコのアドレス帳の中身も漏れているので、場合によっては離れて暮らす家族・親族の住所・氏名・電話番号も知られてしまったでしょう。
また、今回被害に遭われた3,000人強の人たちはさらに別のサイトでも同じIDとパスワードを使っていると見込まれるため、すでに他のサイトでも同様の不正アクセスがされている可能性もあります。
クロネコのケースは限られたIPアドレスから3万件ものアクセスがあったので発覚しましたが、もしも犯人がクロネコで成功した3,000件強に絞って、IPアドレスを変えながら他のサイトにアクセスすれば、誰にも知られないままさらに情報を手に入れることもできるでしょう。
各所から漏れた情報を総合して、最後には「もしもし、オレオレ」という電話が掛かってきたりするのではないでしょうか?利用しているサービスや家族の住所・氏名まで知られていると、かなり精度の高い詐欺行為をされそうで怖いですね。
詐欺で大金を失わないうちに、パスワードの使いまわしを即刻やめるべきです。
パスワード管理サービス・アプリを使う
サイトやサービスごとに別のパスワードを使いましょうと言うと、そんなの覚えきれないから無理、という反応が返ってきます。
ごもっとも。覚えきれません。
そんなときのために「パスワード管理サービス」とか「パスワード管理アプリ」と呼ばれる便利なものがあります。
パスワード管理に特化した「LastPass」や「1Password」といったサービスや…
ウィルス対策ソフトの機能の一部として実装されているものがあります。
リンク:マカフィー リブセーフ
リンク:マカフィー インターネットセキュリティ
パスワード管理サービスには安全なパスワードを生成する機能がセットになっているので、名前や生年月日からパスワードを類推されて不正アクセスされるようなこともなくなります。
すでにたくさんのサイトやサービスを使っている場合、それぞれに別のパスワードを振り直す作業はかなり大変ですが、それも一度きりです。
それさえ終えれば、あとはマスターパスワードを1つ覚えておくだけですべてのサイトやサービスにアクセスできますし、多くのパスワード管理サービスではIDとパスワードの記入欄に自動で入力してくれる機能があるので、ログインの作業が少しだけ楽になります。
というわけで、パスワードの使いまわしは今すぐやめて、パスワード管理サービスを使うのがいいですよ、という話でした。
リンク:マカフィー リブセーフ
リンク:マカフィー インターネットセキュリティ