はてなに不正ログインの可能性--一部ユーザーに被害も

　はてなは2月24日、はてなのサービスが外部から不正ログインされた可能性があることを発表した。すでに京都府警に連絡済みで、被害のあった可能性のある期間や規模を調査中。また、ユーザーには登録メールアドレスが自身のものであるかを確認の上、パスワードを変更するよう求めている。

　不正ログインにより、一部のユーザーが登録している個人情報のうち、氏名、郵便番号、生年月日、メールアドレスが閲覧、変更された可能性があるほか、クレジットカード番号の下4桁が閲覧された可能性があるという。ただし、下4桁以外の番号や有効期限が閲覧された可能性はないとしている。

　さらに、保持している「はてなポイント」が、第三者によって「Amazonギフト券」に交換された可能性があるという。また、クレジットカードによるリチャージ決済を設定している場合、不正なAmazonギフト券への交換にともない、はてなポイントがリチャージされた可能性があるそうだ。

　はてなによると、同社サーバーへの侵入によるアカウント情報の流出や、パスワードを機械的に推測してログインを試行するといった不審な行動は確認されておらず、他社サービスから流出または不正取得されたアカウント情報を流用された可能性が高いという。また今回の不正ログインは、見かけ上通常のログイン操作と変わるところがなく、ログイン時に不審を判断することは困難としている。

　そのため同社では、不正ログインの対策として、まずメールアドレス変更時の確認フローを見直した。はてなでは、登録メールアドレスにメールを送付して本人認証をしており、そのアドレス宛てに交換したAmazonギフト券を送付している。そこで、アドレス変更時には、変更前のアドレスにも変更通知メールを送付するようにした。

　また、はてなポイントをAmazonギフト券に交換する手続きの際に、全件を目視で確認するようにした。不正の疑いがある場合には、交換を停止するなどの対応を取ることもあるほか、確認のために個別に連絡することもあるとしている。