2018年8月15日にケイ・オプティコム社は、8月13日~8月15日の間に同社の会員管理システムのeoIDにおいて不正ログインが大量に行われたことを発表しました。
eoIDは100万回線を超える大手格安SIMサービス「mineo」やインターネットサービスのeoひかり、eo電気など関連サービスでも使われており、多くのユーザーが情報を盗み見られた可能性があるため、利用者は不正ログインをされていないか確認することを推奨します。
ケイ・オプティコム社によれば、攻撃されていたのは2018年8月13日22時5分~15日11時53分までのおよそ38時間にもおよび、特定のIPアドレスから連続でeo IDへのログインが試みられていたようです。
[追記]:2018年8月16日、リリースが更新され被害状況の時間が15日21時00分まで、不正ログインが確認された件数が6,458件に増えました。
[追記2]:2018年8月20日までにさらに被害者が増え、不正ログイン検出数は7,131件に達しました。
eoIDのパスワード・ID情報がケイ・オプティコム社のサーバーから流出した事実は確認されておらず、不正に入手されたIDやパスワードのリストをランダムで試みる「パスワードリスト攻撃」によるものだと断定しています。いわゆる「パスワードの使い回し」をしていたユーザーが被害に遭っている可能性が高いため、心当たりのあるユーザーはすぐにeo IDの確認をオススメします。
閲覧された可能性のある情報 … お客さまの住所、氏名、性別、電話番号、生年月日、メールアドレスなど
*口座情報、クレジットカード情報についてはマスキングをしており、流出した可能性はありません。
不正ログインが実際に行われた人数は6,307件(2018年8月15日時点)にもおよび、eoIDに登録された各種情報が盗み見られた可能性があります。
不正ログインされたかどうか確かめる方法
mineoでは不正ログインと見られるアクセスを解析済みであり、対象となるアカウントにはパスワードの強制変更要請によるロックが施されている(パスワードを変えるまでログイン出来ない)そうですので、eoIDを作成したことのあるユーザーは確認してください。また、対象のユーザーにはアカウントがロックされたことを通知するメールも届いているはずです。
・mineoおよびeo ID利用の各サービス・マイページへログイン出来ない
・ケイ・オプティコムより「[重要]eoIDの不正ログインについて」というメールが来ている
このような状態の場合、不正ログインがすでに実行されてしまっている可能性があります。
アカウントがロックされた状態だとサービスのプラン変更・解約・MNP転出などの各種手続きや、高速通信スイッチのオン・オフ切り替えなども出来なくなっているため、速やかにメール(mineoに登録したメールアドレスに配信されています)で案内された方法で対処を行って下さい。
9時から21時までの期間、「不正ログイン対策ダイヤル」として緊急の連絡先がメールに記載されているはずです。
格安SIMサービス mineoの考えうる影響
mineoサービスの場合だと、普段と違う環境でログインするとアラートが飛ぶように設定されています。そのため不正ログインがされていれば、設定してあったメールアドレスに警告メールが届いているはずですので、そちらの確認もしておきましょう。
口座情報・クレジットカード情報を盗み見られることは無いとされていますが、mineoで実施されている「紹介キャンペーン」のプレゼントコードはeo IDでログインされてしまうとアマゾンギフト券・EJOICAのコードが使われてしまった可能性も考えられます(mineoのeo IDへ不正ログインが実施されたかどうかは不明)。
不正にログインされた場合、ご利用状況の確認 → プレゼントコード紹介 → プレゼントコード一覧へ進む事ができてしまうはずです。
mineoのeo ID不正ログインで考えうる被害
・各種個人情報の漏洩(氏名・住所・電話番号・mineoのメルアド)
・パケットギフトの不正利用
・プレゼントコードの不正利用
・プラン変更等の契約改変
・追加機種の購入(機種変更)
・住所変更
上記のようなことがeo IDを乗っ取られると出来てしまう可能性があるため、ログインされてしまった人はさらなる被害が発生しないように契約状況周辺も再チェックしておきましょう。ドコモオンラインショップで発生した事件のように住所変更+機種購入もeo IDの不正ログインを悪用すると出来てしまうため、通知メールに注意してください(機種購入の被害が出ているかどうかは8月15日時点では明らかになっていません。mineoでは住所変更手続きに10日ほど掛かることがあるため、今回の不正ログイン期間では端末受け取り住所変更 → 不正購入の完了までは行われていないかもしれません)。
せっかく利用者を紹介して・されて貰ったアマゾンギフト券が奪われてしまうのは残念ですので、各自不正利用がされていないかチェックしましょう。
8月14日にはドコモのオンラインショップでも不正ログイン・iPhone Xの不正購入が多数確認されています。事件の関係性は不明ですが、お盆時期のセキュリティ人員が手薄になるタイミングを狙われている可能性がありますので、ネットでさまざまなID作成/会員登録を行っている方は、絶対にパスワードの使い回しをしない・推測されやすいID/パスワードを使わない・怪しいメールやウェブサイトを利用しない・ログイン情報の通知メールの管理を徹底しておきましょう。現状でユーザーがとることが出来る対象方法は、これくらいしかありません。同じパスワード・IDを使いまわしていると今後もどんどん被害が広がる恐れもありますので、eo ID以外のログイン情報にもお気をつけ下さい。
画像認証の追加
2018年8月24日より、eo IDへのログイン画面で画像認証が追加されました。
画像認証によりロボットなどによる連続ログイン試行が出来ないようになりました。ただ、自動ログインによる大量のアタックを防ぐことは出来ても、人間が手動でログインを行った場合には引き続き乗っ取られてしまう可能性があるため注意が必要です。
mineoで実施中のキャンペーン情報
mineoでは2018年7月24日から2018年11月6日の期間、新しく始まるソフトバンクプラン(SB回線のみ申し込み開始は9月4日から)の提供開始を記念し、デュアルタイプ(音声通話機能付きSIMの)を対象にした「333キャンペーン」を実施しています。
対象期間中に新規でデュアルタイプのドコモ・au・ソフトバンクの回線を契約すると、月額料金333円で最大6ヶ月間利用できる破格のキャンペーンとなります。
mineoの音声SIMサービスでは他社の格安スマホサービスで導入されている1年縛り(最低利用期間)がなく、1年未満で回線を解約しても違約金請求が生じない(代わりに12ヶ月未満でMNP転出しようとすると1万円以上の高い手数料が掛かる)ため、キャンペーン期間中だけ回線を増やして運用したり、初めての格安スマホのお試し用にも向いています。
mineoのサービス申込み方法は以下のページで解説していますので、初めて申し込みをする場合は参考にどうぞ(今回の不正ログイン事件の事もありますので、eo IDのメールアドレス・パスワードの使い回しは絶対にやめてください)。
☆「 mineoの申込み手順、SIMが届くまでの日数、利用開始までの全方法解説」
