フレッツ光会員サイトで再び不正ログイン被害、全404万アカウントを凍結

　東日本電信電話株式会社（NTT東日本）は10日、「フレッツ光メンバーズクラブ」の会員サイトにおいて、新たに77件の不正ログインが確認されたことを公表するとともに、こうした不正ログイン攻撃への対処として、約404万人（2月末時点）に上る全会員を対象にパスワードの変更を要請する。

　11日現在、フレッツ光メンバーズクラブへのログイン機能をいったん停止した上で、全アカウントをロックする作業を進めている。準備ができしだい、同日20時ごろをめどにログイン機能を再開し、会員からのパスワード初期化操作を受け付ける。これにより各アカウントのロックが解除され、再びログインできるようになる。なお、パスワードの初期化には、会員IDのほか、登録しているメールアドレスと生年月日の入力が必要。

　フレッツ光メンバーズクラブの会員サイトでは4日に、不正ログインを試みる約2万件の大量アクセスがあり、そのうち30件で不正ログインに成功されていたことが判明していた。NTT東日本では一時ログイン機能を停止し、個人情報を取り扱う機能は利用できないかたちで9日9時に再開。しかしその後も、10日2時までに約2万4000件の大量アクセスがあり、77件の不正ログインに成功されたことが新たに確認された。これを受けて再びログイン機能を停止し、全会員にパスワードの変更を要請するかたちとなった。

　なお、パスワード変更後も、個人情報を取り扱う機能などは引き続き制限される。また、利用できるのはポイント交換サービスに限定されるという。NTT東日本では根本的な不正ログイン対策を導入した上で、全機能の再開を目指す。NTT東日本によると、会員のID・パスワードが同社から流出した形跡はないとしており、流出元については引き続き調査を進める。

　4月に入って、NTTレゾナントが運営する「gooID」や、イーブックイニシアティブジャパンの電子書籍サービス「eBookJapan」でも不正ログインを試みる大量アクセス攻撃が発生。それらの調査からは、他のウェブサービスなどで使用されているID・パスワードのセットリストが攻撃者の手に渡り、それと同じID・パスワードをgooIDやeBookJapanで“使い回し”していたアカウントが、不正ログインを許してしまった可能性が指摘されている。同じID・パスワードを複数のサービスで使っていると、どこか1個所からその情報が流出してしまうと、そのサービスだけでなく、別のサービスでも不正ログインされる恐れがあるわけだ。

　NTT東日本では、フレッツ光メンバーズクラブの不正ログイン試行の特徴について言及は控えており、正確なところは不明だ。しかし、パスワードを設定する際の注意点として、名前や誕生日など個人情報をもとにした単語や辞書に載っている単語など類推されやすいものは避けること、定期的に変更し、過去に一度使ったものは使わないことといった点とあわせて、他のウェブサイトなどと同様のものは使わないことを挙げている。