「Ameba」で約59万件の不正ログイン--パスワードリスト型攻撃で

　サイバーエージェントは11月29日、同社が運営する「Ameba」において、登録者以外の第三者による不正なログインが発生したことを確認したと発表した。また、不正ログインの攻撃は断続的に発生していることから、今後も対象件数や状況など、変動する可能性があるという。

　不正ログインは、11月25日22時35分から11月28日2時22分までの間に確認されており、不正ログイン試行回数は3754万7786回、不正ログインされたアカウント数は58万9463件に上るという。同件に関しては、渋谷警察署生活安全課に不正ログインに関する被害を届け出している。

　第三者に閲覧された可能性のある情報は、「Ameba」の登録情報（ニックネーム、メールアドレス、生年月日、居住地域、性別など）と仮想通貨「コイン」の履歴情報。同社によれば、登録情報について改ざんは確認されておらず、クレジットカード情報も同社システムで保有していないという。

　不正ログインを受けた58万9463件のログインID（アメーバIDまたは、メールアドレス）については、今後の被害拡大などを防ぐため、11月28日と11月29日に同社の判断でパスワードをリセットしている。該当ユーザーに対しては、今回の被害状況とパスワード再設定の連絡、問題事象があった場合の問い合わせ方法などを個別にメールで案内している。

　今回の不正ログインの手法は、各サービスですでに発生しているものと同じく、他社サービスから流出した可能性のあるID・パスワードを利用した「リスト型アカウントハッキング（リスト型攻撃）」だと推測している。そのため、他社サービスと同じパスワードを使い回している場合は、不正ログインの対象となる可能性があるという。

　同社では、他社サービスと同じパスワードを設定しないことが、リスト型攻撃を防ぐ方法の1つだと説明している。個別に連絡している利用者に限らず、他社サービスと同一のID・パスワードを利用している場合は、パスワード変更するように促している。