ニフティは24日、特定のIPアドレスから不正ログインを受け、同社のサービス「@nifty」会員向けの「お客様情報一覧」ページにて、ユーザーの登録情報が閲覧された可能性があることを発表した。発表時点で、当該IPアドレスからのアクセスは遮断されている。
今回の不正ログインは、2014年1月16日(木)午前1時57分~午前6時37分にかけて発生。対象となった165件のユーザーIDに対しては、本日(2014年1月24日)以降、メールおよび電話で個別に連絡し、パスワード再設定を案内するという。同時に、不正ログインの対象となったユーザーIDを調べるツールを公開しているので、@nifty会員の読者諸氏はすぐに確認していただきたい。
不正ログインによって閲覧された可能性のある情報は、「氏名」「住所」「電話番号」「生年月日」「性別」「秘密の質問」「ご契約状況」「ご利用料金」「メールアドレス」など(契約コースによって異なる)。
「クレジットカード情報」は一部をマスキングした状態で表示しているため、決済手段としては使えないとしている。今回の発表時点で、会員情報などの改ざん、および有料サービスの不正利用は確認されていない。
@niftyでは、これまでも不正ログイン対策を継続的に実施してきているが、今後は以下の対策も行っていく。
・不正なログインを検知してアクセスを遮断するシステムの強化
・認証システムのセキュリティ強化(二要素認証の導入など)
なお、今回の不正ログインで悪用されたユーザーIDとパスワードは、@niftyから流出したものではないという。2013年の春ごろから多くのWebサイトで不正ログインが頻発しており、@niftyでも2013年7月に「21,184件以上の会員情報が閲覧された可能性」という大規模な不正ログインが発生していた。今回も同じ手口かどうかは明らかになっていないが、一連の被害を受けたWebサイト/サービスおよび運営会社は、「複数のサービスで同じユーザーIDとパスワードは使わない」、「パスワードは定期的に変更する」といった対策を継続して呼びかけている。心当たりがあるようなら、自分が利用しているWebサイト/サービスのパスワード確認/変更を行っていただきたい。