プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2013年07月

2013-07-30_1942
(画面はCCCのリリース)

カルチュア・コンビニエンス・クラブ株式会社(東京都渋谷区)は、7月26日付で、同社が運営する「Tサイト」(TポイントのWebサイト)に不正アクセスがあり、Yahoo!Japan IDとの紐付けが行われた後に該当カードが保有していたTポイントが不正に使用されたと発表しました。

26日までの時点で、Tポイントが不正に利用されたと同社に連絡した人が27人だったという。また「Tサイト」においてお客様登録情報の一部を非表示にする措置を講じたため、今回の手口による不正利用については対策を実施済みという。

同社では、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、他の方法で入手されたIDとパスワードの組み合わせが使用されたものとしています。

http://www.ccc.co.jp/company/news/2013/20130726_003665.html

(私のコメント)
本件も「パスワード使い回しによる不正アクセス」の一例になるはずですが、今ひとつ実態がよく分からないです。「お客様登録情報の一部を非表示にする措置を講じたため〜」の部分はどう理解するべきなんでしょうか。(どなたか分かる方は教えて下さい)

Tサイトに関しては、Tポイントカード番号と生年月日が分かれば登録できるので、その穴を突かれたのではと思いましたが、同社ではそういう説明はしていないです。また、全ての利用者がTポイントの残額を日々チェックしているわけではないと思われるので、実際には被害者はもっとたくさんいると思われます。


2013-07-30_1007
(画面はNTTコム社のリリース文)

NTTコミュニケーションズ株式会社(東京都千代田区)は、7月24日付で、自社のネットワークサービスであるOCNのサーバーに不正なプログラムが混入しており、最大で400万件のIDと暗号化済みパスワードが流出した可能性があると発表しました。その後の調査により実際に流出があったことが判明し、同社では26日から、OCN IDを使用して他のサービスにログインできる機能を停止しています。

また、LINE株式会社(東京都渋谷区)は、7月19日付で、自社の運営するNAVERサービスのサーバーに不正アクセスがあり、約170万件のメールアドレス、ハッシュ化されたパスワード、ニックネームが流出した可能性があると発表しました。

http://www.ntt.com/release/monthNEWS/detail/20130724.html
http://www.ntt.com/release/monthNEWS/detail/20130725_2.html
http://www.ntt.com/release/monthNEWS/detail/20130726.html (NTTコムのリリース)
http://linecorp.com/press/2013/0719581 (LINE株式会社のリリース)

(私のコメント)
国内の大規模なネットワーク事業者に対する外部からの総攻撃が始まっているという印象を受けます。大規模な認証サーバーを狙い撃ちして情報を持ち出し、そこで得たID、パスワードを使用して「パスワード使い回し」のアカウントを狙って他のサービスに不正アクセスするという手法を取ろうとしているのだと思います。何度でも書きますけど、被害にあいたくないなら「パスワードの使い回し」をしないでください。

http://www.pmarknews.info/archives/51891461.html

ちなみに、今回の流出のケースでNTTコムは「暗号化されたパスワード」、LINEは「ハッシュ化されたパスワード」だったと説明しています。理論上はとりあえず安心していいはずなのですが、こんなに大量に盗み出されたとすると、大量の高速コンピュータでありとあらゆる可能性を試した場合には、暗号化やハッシュ化のロジックが破られる危険性がないとは言えないと思います。(暗号化とハッシュ化の違いは下記のURLをご参照ください)

http://www.pmarknews.info/archives/51740255.html



2013-07-23_0948
(画面はニフティのプレスリリース)

ニフティ株式会社(東京都新宿区)は、7月17日付で、同社のWebサイトに対して不正なログインが行われ、顧客の個人情報が閲覧された可能性があると発表しました。

流出した可能性がある個人情報は、ニフティ利用者の「氏名」「住所」「電話番号」「生年月日」「性別」「秘密の質問と回答」「ご契約状況」「ご利用料金」「メールアドレス」約2万1000件とのことです。

同社では、該当する利用者にメールで個別に連絡を取り、パスワードの再設定を呼びかけるそうです。また、今回の不正アクセスはIDとパスワードが自社から流出したものではなく、何らかの方法で(他社より)入手されたIDとパスワードの組み合わせが使用されたものとしています。

http://www.nifty.co.jp/cs/newsrelease/detail/130717004246/1.htm

(私のコメント)
これも「パスワード使い回しによる不正アクセス」の一例です。まだまだ啓発が必要だと思いますので、当分の間、同様の事例について積極的に本Blogで取り上げようと思います。

2013-07-12_2208
(画面は楽天市場より)

楽天株式会社(東京都品川区)は、7月10日付で、同社のWebサイトに対して不正アクセスが発生し、同社の楽天スーパーポイントが不正に取得されたと発表しました。

同社では、今回の不正アクセスは他社から流出したIDとパスワードの組み合わせが使用されたものと断定しており、他社サイトと同じパスワードを使い回ししないようにと呼びかけています。

http://event.rakuten.co.jp/edy/news/index.html

(私のコメント)
今年に入って多発している「パスワード使い回しによる不正アクセス」の一例です。まだまだ啓発が必要だと思いますので、当分の間、同様の事例について積極的に本Blogで取り上げようと思います。



dsc

弊社(オプティマ・ソリューションズ株式会社)が参加している「モバイルセキュリティ・コンソーシアム」では、7月25日(木)に、第4回モバイルセキュリティ勉強会を開催することになりましたので、皆様にご案内いたします。

※モバイルセキュリティ・コンソーシアム(MSC)とは、モバイル時代の新たなセキュリティ問題について、各領域の専門家による知見を集め、相互の理解を深めるとともに、関係各社との関係構築を目指すことを目的とする団体です。昨年12月より、弊社を始めとする4社が集まって勉強会を3回開催してきましたが、この7月より、新たにモバイルセキュリティ・コンソーシアムとして組織形態を変更し、幅広く会員を募集することとなりました(会費無料)。 http://mobilesecurity.jp


今回のモバイルセキュリティ勉強会では、スマートデバイスの業務利用が本格的に進む中で企業が直面するセキュリティやBYOD(私物機器の業務利用)といった新しい課題に対して、第一線で活躍されている企業様のソリューションを参考にディスカッションを行い、相互理解を深める勉強会を行います。

【開催日時】2013年7月25日(木)19時〜21時(18時半受付開始)
※会場が21時でクローズになりますので、遅れないようにお越しください。

【開催場所】東京都千代田区永田町 2-13-5 赤坂エイトワンビル1F
PLUS STYLE SHOWCASE
http://www.plus.co.jp/showroom/showroom/seminerroom.html

【講演内容】
(1)NTTコミュニケーションズ株式会社 
第五営業本部 第二営業担当 課長代理 大橋守様
第五営業本部 第二営業担当 小暮みなみ様
「050plusを活用したBYODソリューション」

(2)株式会社ソリトンシステムズ
Mobile & Cloud タスクフォース 本部長 松本 吉且様
「会社支給もBYODも大丈夫!『セキュアコンテナ』で会社データを守る」

※その他、ライトニングトークにて有志による発表を予定しております。参加希望者はご連絡ください。

【参加費】無料

【参加人数】30人程度

参加希望される方は、下記URLからお申し込み下さい。
http://everevo.com/event/6528

(私のコメント)
幹事会社4社が手探りで始めたモバイルセキュリティ勉強会ですが、スマホ、SNS、BYODと話題が広がって、毎回すばらしい講師陣に恵まれております。今回はBYODネタの豪華二本立てです。興味を持たれた方はぜひお越しください。もちろん私も参加します!


↑このページのトップヘ