はてなへのリスト型アカウントハッキングと思われる不正ログインについてのご報告と、パスワード変更のお願い
昨日6月19日(木)、はてなアカウントにおいて、ご登録ユーザーご本人以外の第三者による不正なログインが発生したことを確認しました。同日、疑わしいIPアドレスからのアクセスを遮断しました。このお知らせは本告知と並行して、全ユーザー様にも現在、メール送信しております。
前回告知した不正ログインと同様に、他社サービスから流出または不正取得されたアカウント情報(IDとパスワードの組み合わせ)を流用された「リスト型アカウントハッキング(リスト型攻撃)」である可能性が高いと考えています。
他社サービスと同一のID(メールアドレスまたはユーザー名)およびパスワードを使用しているユーザー様は、安全のため登録メールアドレスがご自身のものであるかを確認の上、パスワードの変更を強くおすすめします。
また、それ以外のユーザー様も、はてなの「ユーザー設定」ページから登録情報等をご確認の上、より安全なパスワードと、正しく有効なメールアドレスを設定いただけるようお願いいたします。
不正ログインの詳細と、はてなの対応
不正ログイン発覚から対応までの経過
- 6月16日(月)
- 不正ログインが開始される
- 6月19日(木)
不正ログイン状況
不正ログインの被害状況
- 不正ログインにより「メールアドレスを変更し、Amazonギフト券交換の申し込みを行った」アカウントが3件ありました
- ただし、Amazonギフト券交換はスタッフが目視で確認の上で手続きを行っているため、交換には至っておりません
- この3件以外に、メールアドレスが変更されたアカウントはありませんでした
以下の被害は発生しておりません
不正ログインを受けたユーザー様への対応とご連絡
不正ログインへの対策について
前回の不正ログイン時にもお知らせした「メールアドレス変更時には、変更前のメールアドレスに対しても変更通知メールを送付する」という対策により、今回、ユーザー様からいち早くご指摘をいただくことができました。
改めて、はてなをご利用の全ユーザー様に本告知とメールでパスワード変更をお願いすると共に、総務省が公表している対策など、順次対応を行って参ります。
不正ログイン防止のためのお願い
不正ログイン防止のため、今回の不正ログインの対象ではないユーザー様につきましても、下記の対応を強くおすすめいたします。なにとぞよろしくお願いします。このお知らせは本告知と並行して、全ユーザー様にも現在、メール送信しております。
- はてなのアカウントに現在、利用可能なメールアドレスを正しく設定しているかをご確認ください
- 他社サービスと異なり、かつ、記号・数字・大文字・小文字を組み合わせた、推測が難しいパスワードに変更してください
- 他社サービスにおいても、同一のメールアドレスとパスワードをご利用されているものがある場合は、そちらのパスワードの変更も合わせておすすめします
※不正ログインを受けた場合、本人になりすまして、サービス内の登録情報を閲覧・変更される可能性があります。ただし、弊社サービスの有料プランなどへのお申し込みは、不正ログインによるものと確認できた場合、決済を取り消す処理を行います。また、Amazonギフト券交換は全件を目視で確認し、不正の疑いがある場合には、交換を停止するなどの対応を行っています。
もし今後、不正にメールアドレスが変更されたという場合には、お問い合わせ窓口より早急にはてなまでお知らせください。
また、本件に関してお気づきの点などがあれば、ぜひお問い合わせ窓口よりお知らせいただきますようお願いいたします。
付記 - リスト型アカウントハッキングについて
「リスト型アカウントハッキング」では、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行います。同一のIDとパスワードを複数のサービスで使用する危険性については、以下のページなどをご覧ください。
- 危険! パスワードの使い回し - マカフィー セキュリティニュース
- 全てのインターネットサービスで異なるパスワードを! - IPA 独立行政法人情報処理推進機構:2013年8月の呼びかけ