ソフトバンクモバイルの会員サイト「MySoftbank」が不正ログイン被害を受けた可能性があると発表しました。ここではその関連情報をまとめます。
概要
ソフトバンクモバイルの会員向けサイト「MySoftbank」が不正アクセスを受け、724件のアカウントが不正にログインされた可能性があります。2月にも不正ログインが発生していますが、関連性については明らかにされていません。
(1) 被害状況
- 被害を受けたWebサイト My Softbank
- 不正ログイン被害件数:724件
- ログイン試行回数 未発表
- ログイン試行日数 約14日間
- ログイン成功率 不明(試行回数未発表のため)
- 会員数 不明
- 流出した可能性のある情報
- 氏名
- 携帯電話番号
- 固定電話番号
- 契約内容
- 利用状況
- 金銭的被害を受けた可能性
- 「ソフトバンクまとめて支払い」が使われた。
- 身に覚えのない購入についてユーザーから申告があった。*1
- 次の情報はマスキングされているため流出していない
- クレジットカード番号
- 銀行口座
- 住所
- 調査の結果ソフトバンクモバイルのサーバーから次の情報の流出は確認されていない
- MySoftbankのID
- MySoftbankのパスワード
- 信用情報(クレジットカード番号、銀行口座など)
(2) 発端
- MySoftbankに対して不正ログインが行われたため。
(3) 原因
- リスト型攻撃の可能性がある。
- 特定のIPアドレス(個数不明)から行われた。
- 外部で盗まれたと思われるID/パスワードが用いられた。
(4) 対応・対策
- 対応
- 不正ログインに関する発表
- ソフトバンクモバイルのサーバーへの不正アクセス有無の調査
- 不正ログインが行われたユーザーのパスワードリセット
- 不正ログインが行われたユーザーへの連絡
- 問い合わせ窓口の掲載
- 問い合わせは無料
- 対策
- 検知システム、認証機能の強化
- 監視体制のさらなる強化
- 同様事象を確認した際の個別連絡、パスワードリセットの予告
- 以下の注意喚起をユーザーに呼びかけ。
- 定期的にパスワードを変更する
- パスワードの使い回しを行わない
- フィッシングサイトの設置
インシデントタイムライン
- 2014/04/14〜04/28
- MySoftbankに対して不正ログインが行われる
- 2014/04/30
- ソフトバンクモバイルが不正ログインについて発表
ログイン仕様
- ログインID
- 携帯電話番号(半角数字)がIDに該当する
- IDにハイフンは使わない
- パスワード
- 8文字〜16文字
- 半角英数字
- 英数字の組み合わせが必要
- パスワード設定後、SMSでパスワードが送られてくる
- パスワードの変更には申込時にユーザーが申請した暗証番号(4桁)が必要。
- Yahoo!Japan IDを使ってログインすることも可能。
*1:「My SoftBank」などに外部漏洩のパスワードで不正アクセス,INTERNET Watch,2014/04/30アクセス:魚拓