eoID不正ログイン7,131件!mineoユーザーは要チェック【セキュリティ強化済み】

mineoを運営するケイ・オプティコムが、8月15日にeoIDの不正ログインがあった事を発表しました。mineoを契約する場合eoIDの作成が必須なので、mineo利用者は不正ログイン該当ユーザーに含まれている可能性があります。

【更新履歴】
10月23日:ログインセキュリティパターン変更
08月24日:ログイン時のセキュリティ強化
08月21日:不正ログイン更に増加
08月16日:初回投稿


eoID不正ログイン


不正ログインが確認されたユーザー数6,458件。今回はケイ・オプティコム(mineo)側のデータ流出では無く、パスワードリスト型攻撃をされたとのこと。

パスワードリスト攻撃とは↓

パスワードリスト型攻撃とは、不正アクセス(不正ログイン)を試みる手法の一種で、あらかじめ用意したアカウント情報(IDとパスワードの組み合わせ)一覧をもとにログインを試みる手法である。

パスワードリスト型攻撃で用いられるアカウント情報は、どこか他のサービスなどから不正に入手したリストである。総当たり攻撃よりも、ユーザーが実際に使っている文字列の組み合わせに突き当たりやすく、不正ログインが成功しやすい。とりわけ、同じユーザーがアカウント入手先のサービスでも同じIDとパスワードの組み合わせを設定していた場合、つまりアカウント情報の使い回しをしていた場合、ピンポイントでログインできてしまう。

パスワードリスト型攻撃とは - IT用語辞典 Weblio辞書


要はIDやパスワードを他と同じ使い回ししていたユーザーが被害にあったと思われる。

ケイ・オプティコムの公式発表はこちら。

株式会社ケイ・オプティコム(以下ケイ・オプティコム、代表取締役社長:荒木 誠/本社:大阪市中央区)が提供するeoやmineoなどの各種をご利用いただくためのeoIDに対し、外部からの不正なログインがあったことが判明いたしました。弊社の顧客データが流出した事実は、現在確認できておりませんが、お客さまにはご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

1.経緯
昨日(8月15日)、特定のIPアドレスから、eoIDへ不正にログインを試みる事象を確認いたしました。
*不正ログインの発生期間8月13日(月)22時05分から8月15日(水)21時00分まで
弊社ではこのIPアドレスからのログインをすべて遮断するなどの緊急措置を実施いたしました。
調査の結果、弊社サーバーへのハッキングによるeoIDの流出ではなく、第三者が利用者のIDやパスワードを不正に入手し、Webサービスにログインを試みる「パスワードリスト攻撃」による不正ログインと判明いたしました。

2.不正ログインの状況
不正ログインが確認されたユーザー数 … 6,458件(2018年8月15日21時現在)
閲覧された可能性のある情報 … お客さまの住所、氏名、性別、電話番号、生年月日、メールアドレスなど
*口座情報、クレジットカード情報についてはマスキングをしており、流出した可能性はありません。

3.対応状況
昨日(8月15日)よりeoIDへの不正ログインが確認されたIDに関しては、パスワードを変更しなければ利用できないように対策を講じており、該当のお客さまには個別メールにてご連絡させていただいております。

4.お客さまへのお願い
eoIDをご利用のお客さまは、不正ログインを防止するために以下の点にご注意ください。
(1)他社サービスとは違うパスワードを設定する。
(2)第三者が容易に推測できるパスワードを使用しない。

弊社といたしましては、今回の事態を厳粛に受け止め、セキュリティーの強化に取り組んでまいります。

eoIDに対する不正なログインについて|プレスリリース|ケイ・オプティコム


IPアドレスからのログインを遮断、不正ログインのアカウントはパスワード変更必須と個別にメール連絡と、対応は既にされているので取りあえず安心といったところでしょうか。

mineoマイページログイン時にも注意は出てます。

screenshot_02_2018081715323983f.png

ちなみに私は該当ユーザーではありませんでした。同じく不正ログイン該当ユーザーではないが、ちょっと心配という方はeoマイページのログイン履歴で確認をどうぞ。

screenshot_07_20180817154003d5f.png

確認できるのは以下の項目。

・ログイン日時
・国
・ログイン端末
・IPアドレス

screenshot_08_201808171545033cf.png

怪しいのがあった場合はすぐにパスワード変更を。ついでにmineo(ケイ・オプティコム)にも連絡しておくと、他の方への被害も防げるかも。

参照ログイン | eoマイページ

この手のことはmineoに限らず起こりうる事で、同じようなタイミングでdocomoもDアカウントの不正ログイン→商品購入という事があった事を2段階認証ご利用のお願いとともに8月14日付で発表しています。

外部からの不正なログインにより、お客様のdアカウントが使用され、不正に取得したdアカウントを使い、ドコモオンラインショップにて商品を購入する事象が確認されております。ドコモでは、お客様のdアカウントを不正に利用できないよう「2段階認証」をご用意しており、この認証機能を利用することで第三者による不正ログインを防止することができます。

ドコモからのお知らせ : 不正なアクセス対策としての「2段階認証」ご利用のお願い | お知らせ | NTTドコモ


提供側にはセキュリティ強化をしてもらいたいとして、個々では上記の様に2段階認証と、パスワードは使いまわさないのが無難でしょうね。

個人的にはmineoログインレベルだと、別にって感じなので、mineo側が強制的に2段階認証必須とされてもちょっとなぁ、という所ではあるんですけどね。この辺は望む人もいると思うのでやるなら選択制をお願いしたい所。ちなみにマイネ王レベルでそんな事をされるとちょっと不満を言うかも。

サイトによって度合いは違って、不正ログインされると困るGoogleは2段階認証導入してます。2段階認証はSMSを使ってもありますが、GoogleはAuthenticatorというアプリでも可能。

Google 認証システムを Google アカウントの 2 段階認証プロセスで使用して、ログイン時のセキュリティを強化できます。 2 段階認証プロセスでは、アカウントへのログイン時にパスワードと確認コードの両方が必要になります。このアプリでは確認コードを生成でき、一度設定すればネットワーク接続や携帯電話回線を利用していない場合でも確認コードを受け取ることができます。
Google Authenticator - Google, Inc.
Google Authenticator

パスワード管理アプリは定番の1Passwordをオススメしたい。パソコンとのパスワードの同期も可能となってます。

1Password - Password Manager - AgileBits Inc.
1Password.png

上記2つは今や私の中で必須アプリとなってます。詳しく書きたいが、今回は主題が違うのでまた別の記事にでも。

不正ログイン更に増加


*追記:2018.08.21

mineoより追加情報が出ました。今回の件はまだ終わっていなかったらしく、不正ログインを確認されたユーザー数も増加してます。

不正ログインが確認されたユーザー数
8月15日/6,458件

8月20日/7,131件

1.経緯
8月15日以降、特定のIPアドレスからeoIDへ不正にログインを試みる事象を確認いたしました。
*不正ログインの発生期間:8月13日(月)22時05分から8月20日(月)12時30分まで
弊社ではこのIPアドレスからのログインをすべて遮断するなどの緊急措置を実施いたしました。
調査の結果、弊社サーバーへのハッキングによるeoIDの流出ではなく、第三者が利用者のIDやパスワードを不正に入手し、Webサービスにログインを試みる「パスワードリスト攻撃」による不正ログインと判明いたしました。

2.不正ログインの状況
不正ログインが確認された延べユーザー数:7,131件(2018年8月20日12時30分現在)
閲覧された可能性のある情報 … お客さまの住所、氏名、性別、電話番号、生年月日、メールアドレスなど
*口座情報、クレジットカード情報についてはマスキングをしており、流出した可能性はありません。

eoIDに対する不正なログインについてのお知らせ(2018年8月21日更新)|ケイ・オプティコムからのお知らせ|ケイ・オプティコム


今回の件で発表された15日、そして本日21日のmineoからのメールの案内はない。被害が増えている所を見るとメールで情報を流したほうが良いような気はする(*該当者には連絡があるそう)。

増えるのは当然で、mineoの対策は該当IPからの遮断だけ。対応としては後手に回らざるをえないって事です。だからこそ案内を出したらとは思うんですけど。

ちなみに前回取りあげた別件のdocomoの件でもdocomoからの案内は来ていない。それを考えるとmineoだけに過度な期待はとも思ったりするが、mineoユーザーでもマイページにアクセスしない方は現在この情報結構知らないのでは。サポートページなんかよりアクセスしないだろうしね。

それとは別に不正ログインをした奴は特定出来るのだろうか。mineoが動くのか、ユーザーが動かないと行けないのかちょっと興味がある。ユーザーが動くとしても面倒&面倒だろうなぁ。

ログイン時のセキュリティ強化


*更新:2018.08.24

mineoマイページのログインが強化されました。eoIDとパスワードの他に、表示されておる数字を入力する必要となりました。

screenshot_05_201808241840212ec.png

以前書いたようにこうなるのは嫌だったんですけどねぇ。mineoのマイページ如きで面倒くせぇ仕様になってしまいました。mineo(ケイ・オプティコム)としても早急に対策しないとってところは分かるんですけどね。個人的には選択制か、ログインがあったらメール通知ぐらいで良かった。

ちなみにこのセキュリティ方法って意味あるのでしょうか。認識が間違っているかもしれないが、あるチケット転売サイトではbotが9割だったらしく、難読文字は突破されていたとの記事は見かけましたけど。

 チケット販売サイト「e+」(イープラス)を運営するイープラスは、以前からチケットの転売目的と疑われるWebサイトへのアクセスに悩まされていた。これまで、難読文字や図形問題をユーザーに解かせる方法などを検討してきたが、難読文字は自動解析で突破されるためほぼ効果がなく、図形問題を提供する外部サービスも止まることがあったりと、期待する効果は得られなかった。

イープラス「チケット購入アクセスの9割がbotだった」――アカマイの検知システムで判明 - ITmedia NEWS


ログインセキュリティパターン変更


screenshot_05_201808241840212ec_20181023174203495.png
*更新:2018.10.23

セキュリティ強化のためeoIDとパスワードに加え、別途数字入力が必要になっていたログイン方法が変更されてました。

変更箇所は数字入力からパズルのピースを合わせるパターンに。このパターンの方法は初めて見た。私の場合だとパソコンからマイページを確認するので、マウスだけでログインが可能に“戻った”仕様はありがたい。

数字パターン本当に面倒だったんですよね。数字が変わるのに履歴がずらっと出てきて煩わしかった・・・。

ピースは8割、9割合わせればログイン可能です。

screenshot_15_20181023212302771.png

スポンサードリンク


Category:mineo
Tags:mineo不正ログインMVNOdocomoGoogle

amazon タブレット

Audible