2019年5月22日に「アンとケイト」というアンケートサイトで不正アクセスによる個人情報の流出が発生したと発表されました。

原因はサーバーの設定不備(おそらく脆弱性)をつかれた不正アクセス。現在は、設定不備は対策を施されれ、該当アカウントのパスワードは無効化され、サービス回復しています。

https://www.ann-kate.jp/incident.html

流出したアカウント数は、約77万件。かなりの数が流出したようです。

流出した情報は、メールアドレス・パスワード・電話番号など登録時に必要なほぼ全ての個人情報。被害はかなり甚大です。

ここでは、個人情報流出の内容とユーザー側でとれる対策を紹介します。

「アンとケイト」不正アクセスによる個人情報流出の内容

流出アカウント数

アンとケイトの公式サイトの発表によると、流出アカウント数は、770,074件。

アカウント総数が100万人(2014年時点の公表)なので、半数以上のユーザーの個人情報が流出してしまったようです。

流出内容

流出した内容は、登録しているほぼ全ての個人情報。詳しくは公式サイトをご確認下さい。

必須項目:ユーザー全員が登録している内容

  • メールアドレス
  • パスワード
  • 郵便番号
  • 電話番号
  • 生年月日

必須(選択)項目:ユーザー全員が登録している内容

  • 性別
  • 未既婚
  • 子供の有無
  • 個人年収
  • 世帯年収
  • 職業
  • 勤務先業種
  • 都道府県

任意回答項目:ユーザーか任意で登録している内容※登録している場合は流出

  • 氏名
  • 市区町村
  • 市区町村以降の住所
  • 銀行口座の支店番号
  • 口座番号
  • 口座名義
  • Pex ポイント口座番号
  • ドットマネー口座番号

原因

個人情報流出の原因は、「第三者より一部サーバーの設定上の不備を攻撃され、不正アクセスが行われた」とのことです。

その詳細までは公表されていませんが、おそらく何かしらのサーバー上の脆弱性をつかれた攻撃を受けたのではと推測します。

不正アクセス、個人情報流出に対しユーザーで取れる対策

今回のようにサーバへの不正アクセスによる個人情報の流出自体に対し、利用ユーザー側では対策の取りようがありません。

ただ仮に流出したとして、なるべく被害にあわないようにすることは可能です。

パスワード変更する

まず、アンとケイトに登録している方はパスワードを変更しましょう。流出した該当アカウントはパスワードが無効化され、登録メルアドにパスワードの再設定依頼が来ています。案内に従いパスワード再設定をしましょう。

ただし、メルアドも同じく流出しているため、メルアドがフリーメール、かつフリーメールのログインパスワードが同じ場合は、フリーメールアカウントにも不正アクセスされる恐れがあるため、早急に双方のパスワード変更することをお勧めします。

複数サイトで同じパスワードは使わない

他のサイト(他のアンケートサイト、ポイントサイト、SNS、フリーメールなど)で、同じパスワードを使用している場合、芋づる式に不正アクセスされる恐れがあります。

通称、パスワードリスト攻撃。

リスト型攻撃
パスワードリスト攻撃とは、攻撃者が入手したIDとパスワードの組み合わせで、正規ルートからの不正ログインを試みるサイバー攻撃です。

ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、不正ログインされると、なりすまし、ポイントの不正利用、アカウントの改ざんなどされる恐れがあります。

複数サイトで共通のパスワードを利用するユーザーは非常に多い傾向にあります。今回のようにセキュリティの弱いサイトから情報を盗み出し、他のサイトで不正ログインされます。

とても単純な攻撃ですが、過去に多くの被害が出ています。

アンとケイトでも、2018年にパスワードリスト攻撃と思われる不正アクセスを受けています。※この際は、情報流出や不正ログインの成功はなかったようです。

定期的にパスワード変更する

不正ログインの被害にあわないためにも、パスワードはある程度定期的に変更する必要があります。

情報が流出する前提というのもどうかと思いますが、自分の身は自分で守るしかありません。

パスワードは頻繁に変更すると、管理が煩雑になるので半年や1年などのスパンでも十分有効だと思います。

変更する際は、以下に注意しましょう。

  • 過去に使ったことがあるパスワードは使わない
  • 電話番号や郵便番号、生年月日はパスワードに含めない
  • 辞書にある単語は極力使わない
  • 他のサイトとパスワードの使い回しはしない

まとめ

今回のアンとケイトの不正アクセスでは多くのユーザーの個人情報が流出してしまいました。

過去に登録した気がするけど、利用しなくなってそのまま放置してしまっているという方も多くいるのではないでしょうか。

もしこの記事を見かけて、もしやと思ったら念のため確認をするようにしてみて下さい。

このような情報流出をしてしまうと、ユーザーに実被害が出てしまうだけでなく、運営サイト側にも大きな被害となってしまいます。特に風評被害の影響は大きく(すでにGoogleでアンとケイトを検索すると不正アクセスの記事が上位を占めてる)、セキュリティ対策の強化とともに通常運営がなされることを願います。