「はてなブックマーク」「はてなダイアリー」などのネットサービスを提供するはてな(京都市、画面)は2014年2月24日、自社サービスに対して外部から不正ログインが行われた可能性があることを発表した。
不正ログインにより、「氏名・郵便番号・生年月日・メールアドレスが第三者に閲覧・変更される」「保有しているはてなポイントが第三者にAmazonギフト券に交換される」「クレジットカード番号を登録している場合、クレジットカード番号の下4ケタを閲覧される」といった被害が確認されている。
はてなの説明によれば、自社調査で不正ログインの痕跡を発見した。現時点では自社サーバーへの侵入によるアカウント情報の流出や、パスワードを自動生成してログイン試行を繰り返す挙動は確認されていない。このため、「他社サービスから流出または不正取得されたアカウント情報(IDとパスワードの組み合わせ)を流用された可能性が高い」としている。他社サービスと同じアカウント情報を使っている利用者に対して、パスワード変更や登録内容の再確認などを呼びかけている。
はてなの登録利用者数は約375万人。このうちどの程度のアカウント情報が不正ログイン被害に遭ったか、いつ頃から被害が発生していたかなどについては調査中という。京都府警に通報済みで、被害届提出などの対応を検討している。
はてなは、Amazonギフト券交換時の確認プロセスを強化したり、メールアドレス変更時の通知フローを改良したりするなどの対策を取っている。ただし、「今回の不正ログインは、見かけ上、通常のログイン操作と変わるところがなく、ログイン時に不審を判断することは困難」だとしたうえで、利用者に対して、パスワードを変更することやアカウント情報を使い回さないことを、自衛措置として実施するよう呼びかけている。
[はてなの発表資料]
