通販サイトを狙ったセキュリティ犯罪が続いていますが、とうとうニンテンドーアカウントが狙われ、30万人(6月9日に16→30万人と追加発表)追記もの個人情報が流出しました。
原因はなにか?どうしたら防げるか?ニンテンドーの事件より、学ぶべき教訓と対策をご説明します。
原因はなにか?どうしたら防げるか?ニンテンドーの事件より、学ぶべき教訓と対策をご説明します。
目次
ニンテンドーアカウントに被害を与えた「パスワードリスト攻撃」とは?
NNIDへの不正ログインによってニンテンドーアカウントから個人情報が流出
2020年4月20日ニンテンドーより衝撃の発表がありました。
かつてニンテンドー3DSシリーズやWii Uで使用されていた古い、「NNID(=ニンテンドーネットワークID)」に大規模な不正ログインが発生し、結果として紐付いていた「ニンテンドーアカウント」に不正ログインを許すことになってしまい、16万人分もの「ニックネーム、生年月日、国/地域、メールアドレス」が流出したのです。
またユーザーからは「勝手に課金された」「課金で手に入れたアイテムを奪われた」などの苦情も多数寄せられています。
対策として、任天堂は、NNID経由で「ニンテンドーアカウント」にログインする機能を停止し、「パスワードの変更」と「ニンテンドーアカウントに二段階認証を設定するよう」呼びかけをはじめました。
さらに9月6日に「盗まれた可能性のあるNNIDが新たに14万件発見されて、総数は30万件」「不正に使われたのは1%未満であり、すでに返金が行われた」ことが追加発表されました。
原因はパスワードリスト攻撃か?
任天堂の発表によると、今回の流出は、任天堂のシステムが侵入されたのではなく、犯人が入手したIDとパスワードリストを元に、総当たりで侵入を試みる、古典的な「パスワードリスト攻撃」が成功したものと推測されます。
「悪意の第三者が、入手した不正なIDとパスワードが記載されたリストを使って、顧客になりすまして不正アクセス。一致したIDとパスワードでログインに成功し顧客情報の一部をのぞき見た」もので、このような攻撃を「パスワードリスト攻撃」といいます。
「悪意の第三者が、入手した不正なIDとパスワードが記載されたリストを使って、顧客になりすまして不正アクセス。一致したIDとパスワードでログインに成功し顧客情報の一部をのぞき見た」もので、このような攻撃を「パスワードリスト攻撃」といいます。
同様の事例は、過去多数発生。2019年にはイオンでは2200万円もの被害
パスワードリスト攻撃の被害はしばしば発生しています。
記憶に新しい大きいものとしては、2019年6月イオンのネットサービス「暮らしのマネーサイト」とスマホアプリ「イオンウォレット」で、約2000名の顧客情報が悪用され、2200万円もの被害が出てしまいました。
【次ページ:事件の詳細と被害にあわないための対策は?】
- 1
- 2