【メルマガ】リスト型攻撃で個人情報流出。対策は?(2022年10月04日)

家具・日用品販売大手のニトリにて、公式アプリに対して不正アクセスされたと発表がありました。
約13万2000アカウントが不正ログインされ、個人情報の一部が流出した可能性があるとのことです。

「ニトリアプリ」への不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ >>>

身近の脅威である「リスト型攻撃」。
こちらについて、今回は見てみます。

何が起きた?

ニトリアプリから、第三者がID・パスワードを用いてアクセスを試み。

ログインできたアカウントに関して、個人情報が取得された可能性があります。
(おそらく、マイページといった個人情報が確認できるページから取得されたものと考えられます。)

「リスト型攻撃」って?

今回の攻撃は「リスト型攻撃」と判断されています。

「リスト型攻撃」とは、他のサービスで使っているID・パスワードが、何かしらの形で流出。
そのID・パスワードを用いて、別のサービス(今回だとニトリ)のログインを試みるという、ある意味単純な手法です。

つまり、複数のサービスでパスワードを使い回ししていると、この攻撃を簡単に食らう可能性があるわけです。

サービス提供側からすると、正しいID・パスワードでログインされているため、なかなかブロックする術がありません。

※大量のログインを同じIPアドレスやブラウザから送信している、といったケースは途中で気がつける可能性もありますが、攻撃者はこういったことを隠蔽することも可能です。

対策は?

何度も言われていることですが「パスワードの使い回しをしないこと」。
まずは、これに尽きます。

そして、二要素認証ができるのであれば、二要素認証を設定すること。

最悪、ID・パスワードが突破されたとしても、二要素認証を破ることはなかなか至難の業です。

分かっているけど、なかなか・・・という気持ちも分かります。

そこで、楽にできるのが「パスワードマネージャー」です。
最近のパスワードマネージャーは、どのパスワードが危ないか、といった「警告」を出してくれる機能が備わっています。

例えば、iOS自身にも、標準のパスワードマネージャーが備わっています。

設定 > パスワード > セキュリティに関する勧告 を見ると、
「このパスワードはデータ漏洩で検出されたことがあるため、このアカウントは危険にさらされています」などの情報が確認できます。

この「勧告」されている内容を変更するだけでも、かなりセキュリティ強化が図れるでしょう。

電車での移動中などでも、少しずつでも変更されることをオススメいたします。

メルマガ登録

"意見が持てる" デジタルコラム
『メルマガ Professional's eye』

週1回、3分で楽しめます。


詳細はこちら >>>
送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。
※ご回答希望の場合は、ご連絡先も記入ください
"意見が持てる" デジタルコラム
絶賛配信中!

メルマガ詳細はこちら >>>

送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。
   
         
最後までお読みいただき、ありがとうございました。
以下も、ぜひご活用ください^^
出版物
ITmedia
メルマガ
Site Access Log by HTTP Header
>情報システムの

情報システムの"教科書"本を発売中!


■ 情シス、システムコンサルタント、システムエンジニアの方へ
情シスの定石(技術評論社)

■ システムエンジニア、情シスの方へ
2023年10月7日(土)発売
システム設計の教科書(技術評論社)

CTR IMG

■ 著者 石黒直樹による書籍説明動画