おそらくこのブログの読者層にもかなりの割合で利用者がいらっしゃると思いますので、注意喚起として書いておきます。
8月13日から8月15日にかけて、mineoやeo光などのサービスにログインするために使われている「eo ID」に対して不正ログインがあったことがケイ・オプティコムより発表されました。
eo IDで不正ログインが見られたアカウントは6,000件以上となっており、個人情報が盗み見られるなどの情報漏洩が発生している可能性があります。
調査の結果、弊社サーバーへのハッキングによるeoIDの流出ではなく、第三者が利用者のIDやパスワードを不正 に入手し、Webサービスにログインを試みる「パスワードリスト攻撃」による不正ログインと判明いたしました。
被害にあっているユーザーはパスワードの使い回しをしてしまっていた場合が多そうです。
不正ログインが確認されたユーザー数 … 6,307件 (2018年8月15日現在)
閲覧された可能性のある情報 … お客さまの住所、氏名、性別、電話番号、生年月日、メールアドレスなど
*口座情報、クレジットカード情報についてはマスキングをしており、流出した可能性はありません。
eo IDにログインするだけでは支払口座・クレカ情報は上記の通り見ることが出来ないので問題ないはずですが、ドコモオンラインショップと同様にeo IDでも機種購入が出来るので、もしかしたら端末購入の被害もでているかもしれません。
mineoではコンビニ受取は出来ないので、届け先を別住所に変更(これはeo IDログインだけで可能)→実際に受け取りまで出来るかどうかは判りませんけれど、注文するだけなら一括購入を選べば登録済みの支払い方法で完了させられるはずです。
また、犯人にとって最も簡単に悪用出来そうなものは、紹介キャンペーン等で配布されるプレゼントコードかな、と思いました。
mineoではマイページにアクセスすると紹介キャンペーンで付与されたアマゾンギフト券・EJOICAのギフトコードが丸見えですので、未使用のコードがあった場合は、犯人が勝手に自分のアカウントに追加してしまった可能性があります。
発行されたギフトコードがどのアカウントに追加されたのかを追跡できるかどうか知りませんけれど、アマゾンギフトコードは専用のサイトやオークションサイト等で売買されることも考えられます。
ケイ・オプティコムがそこに気付いて漏洩した可能性のあるギフトコードをチェックし、アマゾン側に問い合わせを行って何らかの方法で止められる・盗まれたギフトコードの行方を追跡出来るのかどうかも現時点では判りませんけれど・・・eo IDの乗っ取りも、ドコモオンラインショップのような機種購入以外の面でも被害が生じている可能性があるのかな、と。
ギフトコードが不正売買されていた場合はコードをアマゾンが無効化することも考えられますので、直近で第三者同士で売買されたアマゾンギフトコードの出処にも注意が必要です。1000円・2000円の単位で大量に売買している人が居たら怪しいかも。
不正ログインが確認されたIDにはmineoから連絡が行っていますので、万一未使用のプレゼントコードが残っていて、アカウントがロックされてしまっていたら、すぐに連絡をしてパスワードの変更・アカウントのリアクティベートをしてもらい、紹介キャンペーンのコードが無事かどうかも確かめたほうが良さそうです。
本日よりeoIDへの不正ログインが確認されたIDに関しては、パスワードを変更しなければ利用できないように対策を講じており、該当のお客さまには個別メールにてご連絡させていただいております。
ドコモの場合とは異なり、mineoの回線を普段使いしていないためにID管理がずさんになりがちだと思いますので、皆さんも必ずeo IDが不正ログインの被害を受けていないか、もし受けていたのなら考えうるすべての被害・影響に対して注意を怠らないようにしておきましょう。
私は使っていないので詳しい状況を知りませんが、インスタグラムでも乗っ取りが発生しているそうですね。ドコモオンラインショップの不正ログインに続いてmineoでも不正ログインが発生したのは偶然ではなく(同一犯かどうかは判りませんけれど)、お盆休みでサービスの管理者が不在になることを狙ったものである可能性が高いでしょう。
パスワードを使いまわしているユーザーは他のサービスでも不正ログイン被害が発生する可能性があるので、これを機会にパスワードの設定を見直したり、使っていないサービスのアカウントを閉じたり、二段階認証のような高セキュリティ設定が出来るのなら、面倒臭がらずに追加設定を行っておきましょう。
最近のウェブアカウントは1つのIDでいろんな事ができるという利便性の反面、いったん乗っ取られると被害が広い範囲で出てしまうリスクもあることをしっかりと理解して、可能な限りの対策を個々が実施しておくべきですね。どれほど大手のサービスであろうと過信は禁物です。
特にパスワードリスト攻撃によるものは、脆弱なサイト・サービスが一箇所でもあれば、そこから被害が広がるので二段階認証やワンタイムパスワードのような高セキュリティなシステムでないと防ぎようがないでしょうから。