どこのだれかは不明だが、個人が各種サイトにログインするときのIDとパスワード(アカウント情報)を集めているものたちがいるようだ。4月以降、ほかのサイトから漏えいしたアカウント情報を使い不正ログインを試みているとみられる事件が数多く明らかになっている。

 2013年5月25日には土曜日にもかかわらず、三越伊勢丹ホールディングスが、「三越オンラインショッピング」に不正アクセスを受け情報が漏洩していたことを明らかにした。一方で、ヤフーは5月23日に、IDと暗号化されたパスワードなどの情報が約148万6000件も漏れていた可能性が高いと発表した。ヤフーをはじめとする大手サイトなどからアカウント情報を盗み出し、これを使ってほかのサイトに不正にアクセスするという攻撃が繰り返されているようだ。

 前回の原稿でユーザーの自衛策をまとめたため、今回はサイト運営者の立場で、すぐに気をつけるべきことを主眼に整理する。現在はサービス提供のハードルも下がり、多くの企業が会員向けサービスを展開していると考えられるからだ。

 表1に、4月以降発表されている主な不正アクセスを整理してみた。これですべてではないかもしれないが、多くのサイトが事件に遭遇していることが分かる。

表1●4月以降に発生した国内の主な不正アクセス
被害企業「サービス名」発表日付試行件数不正ログイン件数備考
NTTレゾナント「goo」2013年4月3日不明10万8716件gooIDへの不正ログイン被害について(終報) 
イーブックイニシアティブジャパン「イーブックジャパン」2013年4月5日2821件779件【重要なお知らせ】不正ログイン被害のご報告とパスワード再設定のお願い 
カルチュア・コンビニエンス・クラブ「Tサイト」2013年4月5日不明299件Tサイトへの不正ログインによるなりすまし被害のご報告およびパスワード変更のお願い 
東日本電信電話「フレッツ光メンバーズクラブ」2013年4月10日約2万4000件77件不正アクセスへの対応等について 
東日本旅客鉄道「My JR-EAST」2013年4月17日約2万6000件97件My JR-EAST での不正ログイン発生とご利用のパスワード変更のお願い 
ディノス「ディノスオンラインショップ」2013年5月8日約111万件約1万5千件【重要】セキュリティ強化のためのパスワード変更のお願い 
資生堂「ワタシプラス」2013年5月17日約24万件682件ワタシプラスにおける不正ログイン被害について 
イード「インサイド」2013年5月21日不明2515件「インサイド」不正アクセスによるお客様個人情報漏洩 追加のご報告 
三越伊勢丹ホールディングス「三越オンラインショッピング」2013年5月25日520万2002件8289件三越オンラインショップ・不正アクセスについて 

 これら企業はセキュリティ対策を怠っていたわけではない。別なところから流出したユーザーIDとパスワードでログインを試行され、使いまわしをしているユーザーを探り当てられたとみられる。ある面、そうした攻撃に気づくことができた感度の高い企業ともいえる。

 問題は、ここからである。

 「他では起きていないのだろうか」――。

 まず最初に私たちが知らなければならないことはこれである。