ポイントインカムで不正アクセス、不正交換が発生！直ちにパス変を

2020年3月14日

ポイントサイトのポイントインカム(Point Income)で不正アクセスの被害が報告されました。

2020/3/4にポイントインカムの公式サイトでアナウンスされました。

被害の内容

具体的に以下のような被害が出ているようです。

被害は、2020年2月27日から確認されているようです。

ポイントインカム自体からの個人情報の漏洩はないとのことです。そのため他のサイトなどから漏洩したID/パスワード情報を利用した不正アクセスと思われます。

いわゆるパスワードリスト攻撃と呼ばれ、どこかしらから漏洩したID/パスワードの組み合わせをリスト化し、様々なサイトに機械的に不正アクセスを試みるという攻撃手法です。

複数のサイトで同じID/パスワードの組み合わせを利用しているユーザーが多くいるのが実態で、１つのサイトからID/パスワードが漏洩すると、他のサイトも芋づる式に不正アクセスの被害にあってしまいます。

ポイントインカムに登録している方で、同じパスワードを他のポイントサイトでも使用しているという方は、 直ちにパスワード変更することを強く勧めます。 今この瞬間も不正アクセスされている可能性があります。

最低限誰でもできる以下の対策は必須です。

同じパスワードを複数サイトで使い回さない というのが基本中の基本です。

ひとたび漏洩してしまうと、同じパスワードで登録している複数のサイトに芋づる式で不正アクセス被害にあうことになります。

パスワードの定期的な変更 も有効です。情報漏洩自体はユーザー側ではどうすることもできないため、自衛手段をしっかりとしておく必要があります。

ハピタスでもパスワード変更の注意喚起がなされていました。

ポイントサイトの個人アカウントへの不正アクセスは、サイト側から見ると正しいIDとパスワードでログインしてくるため、非常に気付きにくい攻撃です。（同一IPアドレスから何度もログインを試みるなど怪しい動きを検知できるとは思います）

少なからずお金（ポイント）を扱うサイトなので、ログインに多要素認証（ID/パスワードと端末認証など）を用いるなど今後セキュリティの強化が必要となってくるのではないかと思います。

ただ、セキュリティの強化と利便性はトレードオフなので、どこまでやるかは難しいところだとは思います。

ユーザー側としては、最低限できる対策は講じておく必要があります。

そんなに難しい対策ではないので自衛手段として、必ず実践しましょう。

よかったらシェアしてね！