【メルマガ】リスト型攻撃で個人情報流出。対策は?(2022年10月04日)

家具・日用品販売大手のニトリにて、公式アプリに対して不正アクセスされたと発表がありました。
約13万2000アカウントが不正ログインされ、個人情報の一部が流出した可能性があるとのことです。

「ニトリアプリ」への不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ >>>

身近の脅威である「リスト型攻撃」。
こちらについて、今回は見てみます。

何が起きた?

ニトリアプリから、第三者がID・パスワードを用いてアクセスを試み。

ログインできたアカウントに関して、個人情報が取得された可能性があります。
(おそらく、マイページといった個人情報が確認できるページから取得されたものと考えられます。)

「リスト型攻撃」って?

今回の攻撃は「リスト型攻撃」と判断されています。

「リスト型攻撃」とは、他のサービスで使っているID・パスワードが、何かしらの形で流出。
そのID・パスワードを用いて、別のサービス(今回だとニトリ)のログインを試みるという、ある意味単純な手法です。

つまり、複数のサービスでパスワードを使い回ししていると、この攻撃を簡単に食らう可能性があるわけです。

サービス提供側からすると、正しいID・パスワードでログインされているため、なかなかブロックする術がありません。

※大量のログインを同じIPアドレスやブラウザから送信している、といったケースは途中で気がつける可能性もありますが、攻撃者はこういったことを隠蔽することも可能です。

対策は?

何度も言われていることですが「パスワードの使い回しをしないこと」。
まずは、これに尽きます。

そして、二要素認証ができるのであれば、二要素認証を設定すること。

最悪、ID・パスワードが突破されたとしても、二要素認証を破ることはなかなか至難の業です。

分かっているけど、なかなか・・・という気持ちも分かります。

そこで、楽にできるのが「パスワードマネージャー」です。
最近のパスワードマネージャーは、どのパスワードが危ないか、といった「警告」を出してくれる機能が備わっています。

例えば、iOS自身にも、標準のパスワードマネージャーが備わっています。

設定 > パスワード > セキュリティに関する勧告 を見ると、
「このパスワードはデータ漏洩で検出されたことがあるため、このアカウントは危険にさらされています」などの情報が確認できます。

この「勧告」されている内容を変更するだけでも、かなりセキュリティ強化が図れるでしょう。

電車での移動中などでも、少しずつでも変更されることをオススメいたします。

メルマガ登録

"意見が持てる" デジタルコラム
『メルマガ Professional's eye』

週1回、3分で楽しめます。


詳細はこちら >>>
送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。
               
           

   
株式会社グロリア
石黒直樹
         
最後までお読みいただき、ありがとうございました!

以下も、ぜひご活用ください^^
情シスの定石
メルマガ
Site Access Log by HTTP Header
Site Access Log by HTTP Header
デジタル活用塾360
>【発売中】情シスの定石(技術評論社)

【発売中】情シスの定石(技術評論社)


情報システム部門の担当者が「絶対に」押さえるべきノウハウを体系化!

・システムの企画から廃止まで、情シスが「何をすべきか」「どう動くべきか」がわかる
・失敗につながる「見えない要因」を明らかにし、成功に導くためのポイントを解説
・情報システム開発に携わるすべての人の必読書

■ こんな方にオススメ
現役「情シス」/ 異動で「情シス」へ / 転職で「情シス」へ
部下・新人育成にお悩みの方 / 業務部門の方
経営者 / 開発ベンダ勤務の方 / 就活生

CTR IMG