グリーは8日、同社が運営するSNS「GREE」が、登録ユーザー以外の第三者から不正ログインを受けたことを発表した。
不正ログインが発生したのは、2013年7月25日(木)~8月5日(月)にかけて。ログイン失敗件数の急増とともに、第三者による不正ログイン試行を検出。8月5日には、不正ログインの侵入経路を遮断し、同一の攻撃への対策を実施した。
8月6日には、一部のユーザープロフィールとコイン履歴情報が、不正ログインした第三者に閲覧されたことを確認。サポートページに「不正ログイン発生のご報告とパスワード変更のお願い」を掲載した。
さらに8月8日には、不正ログインされたユーザーアカウントをすべて一時停止し、該当するユーザーにメールで連絡したという。アカウントの再開に関しては、準備が整いしだい連絡するとしている。
被害状況だが、不正ログインの件数が39,590件、不正に閲覧された可能性がある情報は「プロフィール」「氏名」「ニックネーム」「携帯メールアドレス」「地域(都道府県)」「生年月日」「性別」など。およびGREEに登録したユーザーのコイン履歴情報。
なお、クレジットカード情報については、グリーのシステムでは保有しておらず、ユーザーの登録情報からは特定できないようになっているという。
今回の不正ログインは、ここのところ各種サービスで頻発している手法と酷似。同社は、「GREEとは別のサービスから流出したメールアドレスやパスワードを悪用」という見解を示している。また、今回の不正ログインの対象でなかったGREEのユーザーに対しても、パスワードを変更するとともに、複数のサービスで同一のユーザーID(メールアドレス)とパスワードの組み合わせを使わないよう呼びかけている。