ポイントサイトのポイントインカム(Point Income)で不正アクセスの被害が報告されました。
2020/3/4にポイントインカムの公式サイトでアナウンスされました。
被害の内容
具体的に以下のような被害が出ているようです。
- 第三者によるパスワード再発行
- 第三者による不正ポイント交換
被害は、2020年2月27日から確認されているようです。
ポイントインカム自体からの個人情報の漏洩はないとのことです。そのため他のサイトなどから漏洩したID/パスワード情報を利用した不正アクセスと思われます。
いわゆるパスワードリスト攻撃と呼ばれ、どこかしらから漏洩したID/パスワードの組み合わせをリスト化し、様々なサイトに機械的に不正アクセスを試みるという攻撃手法です。
具体的な攻撃手法は、ポイントサイトの安全性検証!セキュリティ対策と不正アクセスの手口まとめで紹介しているので参考にして下さい。
複数のサイトで同じID/パスワードの組み合わせを利用しているユーザーが多くいるのが実態で、1つのサイトからID/パスワードが漏洩すると、他のサイトも芋づる式に不正アクセスの被害にあってしまいます。
ポイントインカムに登録している方で、同じパスワードを他のポイントサイトでも使用しているという方は、 直ちにパスワード変更することを強く勧めます。 今この瞬間も不正アクセスされている可能性があります。
不正アクセスへの対策
最低限誰でもできる以下の対策は必須です。
1サイト1パスワード
同じパスワードを複数サイトで使い回さない というのが基本中の基本です。
ひとたび漏洩してしまうと、同じパスワードで登録している複数のサイトに芋づる式で不正アクセス被害にあうことになります。
定期的なパスワード変更
パスワードの定期的な変更 も有効です。情報漏洩自体はユーザー側ではどうすることもできないため、自衛手段をしっかりとしておく必要があります。
ハピタスでもパスワード変更の注意喚起がなされていました。
まとめ
ポイントサイトの個人アカウントへの不正アクセスは、サイト側から見ると正しいIDとパスワードでログインしてくるため、非常に気付きにくい攻撃です。(同一IPアドレスから何度もログインを試みるなど怪しい動きを検知できるとは思います)
少なからずお金(ポイント)を扱うサイトなので、ログインに多要素認証(ID/パスワードと端末認証など)を用いるなど今後セキュリティの強化が必要となってくるのではないかと思います。
ただ、セキュリティの強化と利便性はトレードオフなので、どこまでやるかは難しいところだとは思います。
ユーザー側としては、最低限できる対策は講じておく必要があります。
- 同じパスワードは使い回さない
- 定期的にパスワードを変更する
そんなに難しい対策ではないので自衛手段として、必ず実践しましょう。
