サイバーエージェントが運営するブログ「Ameba」で不正ログインが発生していると報じられました。ここではその関連情報をまとめます。
公式発表
- 【ご確認ください】ID・パスワードの取り扱いについて
- Amebaの不正ログインを受けて発表されたものかは不明
■トラブルにあってしまったら
http://ameblo.jp/staff/entry-11875211349.html
(パソコン)http://helps.ameba.jp/trouble/post_515.html
(携帯)http://m.helps.ameba.jp/mobile/m/e/post_600.php
(1) 被害状況
- 被害を受けたWebサイト Ameba
不正ログインの被害状況
不正ログイン被害件数 | ID 38,280件 |
---|---|
ログイン試行回数 | 2,293,543回 |
ログイン試行日数 | 2014年6月19日 17:27〜6月23日 8:36(約3日半) |
ログイン成功率 | 約1.7% |
会員数 | 約3000万人(2013年8月時点) |
流出した可能性のある情報
- Amebaに登録されたユーザー情報
- ニックネーム(登録必須)
- メールアドレス
- 生年月日
- 居住地域(登録必須)
- 性別等(登録必須)
- ユーザー情報は発表されている他に次の情報がある。
- 血液型(登録必須)
- 職業(登録必須)
- 結婚有無(登録必須)
- 出没地
- 出身校
- ホームページのURL
- 仮想通貨の履歴情報
金銭的被害
- 仮想通貨の不正使用は発生していない。
- クレジットカード情報はAmeba側で保持していないため漏えいもしていない。
他確認されている情報
- 他確認されているサイバーエージェントが発表情報は以下の通り。
- 登録情報の改ざんは行われていない。
- 閲覧された可能性のある情報の流出は無い。
- 流出がないことをどのように確認したかは不明。
(2) 発端
- サイバーエージェントがユーザー以外の第三者からのログインを確認したことによる。
(3) 原因
- サイバーエージェントはリスト型攻撃によるものと発表。
- 攻撃は断続的に発生している模様。
(4) 対応・対策
- 不正ログインされたユーザーへ電子メールで連絡。
- 不正ログインされたユーザーのパスワードをリセット。
- 対策として同じパスワードの設定は不可能。
(5) インシデントタイムライン
日付 | 出来事 |
---|---|
6月10日 | Amebaがパスワード管理に関して注意喚起 |
6月19日 17時27分 | Amebaに対してリスト型攻撃が開始される。 |
6月20日 | CNET JapanがAmebaで不正ログインが発生していることを報じる。 |
6月23日 | サイバーエージェントが被害状況の詳細について発表。 |
(6) ログイン仕様
ログインID(アメーバID)
- 3〜24文字
- 半角英数字(小文字のみ)とハイフンが使用可能
- 他で使用されていない任意の文字列を指定可能
- 変更不可
パスワード
- 6〜12文字
- 半角英数字が使用可能
- 数字のみ、アメーバIDに含まれている文字列は使用不可
その他
- 「password」でパスワード登録可能
- 注意喚起は「数字のみ、同じ文字の連続、アメーバIDを含むものを避け、第三者に推測されにくいものを設定してください。」として記載されている。
更新履歴
- 2014/06/20 PM 新規作成
- 2014/06/23 PM サイバーエージェントの発表情報を反映