2013年4月に入ってから、複数の会員サービスを狙った大規模な不正アクセスのニュースが相次いでいる。NTTレゾナントが運営する同社のサービス「gooID」の10万ともいわれるアカウントへの不正なログイン要求と、ヤフーが運営する「YAHOO! JAPAN」(以降Yahoo)で、127万件にも及ぶアカウント情報の窃取が試みられた二つの事件である。現在のところ両事件とも実害が発生したといった報道はなく、幸いながら最悪の事態を回避できているように見える。

写真1●NTTレゾナントが公表した不正ログイン被害についてのリリース
写真1●NTTレゾナントが公表した不正ログイン被害に
ついてのリリース
[画像のクリックで拡大表示]

 NTTレゾナントは、gooIDで認証が突破された可能性のあるアカウントをロックし、ログイン時に再度パスワードを設定しなければサービスを利用できないようにする措置をとったという(写真1)。Yahooでは不正プログラムを発見し、強制終了することで情報流出の被害を食い止めた。外部への情報流出は阻止できたため、当該利用者への告知や案内などは特にしていないように見える。

 この二つの事件について、発表や報道内容と私の過去の経験から学ぶべきことを述べてみたい。

gooIDでは何が起きたのか

 NTTレゾナントが公開した「不正ログイン被害のご報告とパスワード再設定のお願い」では、「2013年4月2日(火)午前11時30分頃、サーバの異常が検知されたことから詳しい調査を行ったところ、特定IPアドレスからgooIDに対する機械的な大量アクセス行為(ブルートフォースアタック)があり、約30,000アカウントに対して不正なログインが行われた可能性があることが判明いたしました。」とある(4月4日の発表では、新たに不正アクセスの可能性を認めた約7万アカウントを追加し、約10万アカウントにログインロックを施したことを明らかにしている)。

 この内容だけでは何とも言えないのだが、これら発表には現状の課題と対策へのヒントが書かれている。こうした攻撃に対して、サイト運営者が適切な対策をとるにはいくつかのことが必要になる。