著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は、3件のトピックを取り上げる。KLabの不正アクセス被害とユニバーサルミュージックの動画漏洩、ベーリンガーインゲルハイムアニマルヘルスジャパンの個人情報流出である。
迷惑メール送信はアドレス確認のために発生
スマートフォン向けゲームなどを開発・提供するKLabは2021年7月23日、ゲーム記録を管理するサービス「KLab ID」が悪用され、50万件超の迷惑メールが送信されたと発表した。
KLab IDへの不正アクセスは7月21日から22日にかけて発生。同サービスでは、新規会員の登録手続きで利用者が入力したメールアドレス宛てに確認メールを自動で配信する仕様になっている。この仕様を悪用され、約52万件の迷惑メールが送信されたという。
同社は第三者が入手したメールアドレスを機械的に入力したものだと分析。確認メールが届いた人には、メールに記載されたURLにアクセスしないよう呼びかけた。また、KLab IDに登録された利用者の個人情報などの流出は確認されていないとした。
ところが2021年7月28日、同社はKLab IDへの不正ログインによって利用者の個人情報が閲覧された可能性があると発表した。その中で、不正ログインと迷惑メール送信との関連性を指摘した。
一連の被害は外部のサービスで流出したメールアドレスとパスワードのリストを使った「パスワードリスト型攻撃」によるものである可能性が高いとした。最初の迷惑メール送信被害は、攻撃者がリストにあるメールアドレスがKLab IDに登録されているかどうかを調べたときに発生したと説明。
登録済みだと確認された5762件のメールアドレスに対して、7月22日午後0時36分から不正ログインの試行が発生し、発表時点までに2439件の不正ログインが確認された。試行された件数に対して不正ログインが成功した件数の割合が4割を超えている。ほかの事例と比べて成功率が高い印象を受ける。
不正ログインされたアカウントからは利用者のメールアドレスや秘密の質問・回答、生年月日、性別などが流出した可能性があるという。同社は7月27日午後5時31分に不正ログインを検知し、7月28日午後2時30分までに5762件のメールアドレスに対するパスワードを変更した。
KLab IDのパスワードは復元不可能な形(ソルト付きハッシュ)で保存され、流出した形跡はないとしている。利用者に対しては外部のサービスとは異なるパスワードを設定するとともに、2段階認証機能を有効化するよう呼びかけている。
