ニフティは1月24日、@nifty会員アカウントの第三者による不正ログインを確認し、165 IDの会員情報が閲覧された可能性があると発表した。なお、同社からのIDやパスワードの漏えいは確認されていない。

不正ログインを確認したのは22日。16日1時57分~6時37分にかけて165 IDを対象に、特定のIPアドレスから不正ログインが行われていたことを確認した。なお、該当するIPアドレスからのアクセスは現在遮断しているという。

閲覧された可能性がある会員情報は、ニフティとの契約コースによって異なるが「氏名」や「住所」「電話番号」「生年月日」「性別」「秘密の質問」「ご契約状況」「ご利用料金」「メールアドレス」など。クレジットカード情報については、お客様情報一覧ページに記載されているものの「情報の一部をマスキングした状態で表示しているため決済手段として利用できない」(ニフティ)としている。現時点で会員情報の改ざんや有料サービスの不正利用は確認されていない。

165 IDの会員に対しては、24日以降、メールや電話で個別に連絡してパスワードの再設定を案内する予定だという。またニフティでは、ユーザー自身が今回の対象IDかどうかを確認するツールを用意している。

現時点で同社からのIDやパスワードの漏えいは確認されておらず、昨年より続いている、他社サービスなどで用いられているIDやパスワードをそのまま利用する「アカウントリスト攻撃」の可能性がある。

ニフティでは、これまでにも不正ログインに対する対策を行ってきたが、不正ログインを検知してアクセスを遮断するシステムの強化や、二要素認証の導入などによる認証システムのセキュリティ強化を図っていくという。

また、ユーザー側にも「1つのIDやパスワードを複数のWebサービスで使いまわさないように」と呼びかけている。