2014-04-23
パナソニックへ行われた不正ログインをまとめてみた
インシデントまとめ | |
パナソニックの会員サイト「CLUB Panasonic」が不正ログイン被害を受けた可能性があると発表しました。ここではその関連情報をまとめます。
概要
パナソニックの会員向けサイト CLUB Panasonicが不正アクセスを受け、約7万8千アカウントが不正にログインされた可能性があります。
- 2014/04/23 「CLUB Panasonic」への不正ログインに関するお知らせとパスワード変更のお願い(パナソニック) 魚拓
(1) 被害状況
- 被害を受けたWebサイト CLUB Panasonic
- 不正ログイン被害件数:78,361件
- ログイン試行回数 約460万件を超える
- ログイン成功率 1.7%
- 会員数 約650万人*1
- 流出した可能性のある情報
- 氏名
- 住所
- 電話番号
- 性別
- 生年月日
- ログインID
- メールアドレス
- ニックネーム
- 携帯電話用メールアドレス(登録していた場合)
- 職業(登録していた場合)
- 居住状態(登録していた場合)
- 家族構成(登録していた場合)
- 共稼ぎ状況(登録していた場合)
- 興味のあるカテゴリー(登録していた場合)
- 2014年4月23日現時点で悪用は確認されていない。*2
(2) 発端
- 外部からの不正ログインの形跡を発見したため。
(3) 原因
- リスト型攻撃の可能性
- ログイン試行は不特定多数のIPアドレスから行われていた
- ログイン試行は断続的・機械的に行われた
- ログイン試行にはCLUB Panasonicで使用を認められていないもの*3を含むIDが使用されていた
(4) 対応・対策
- 対応
- 不正ログインに関する発表
- 個人情報確認画面へのアクセス停止
- 不正ログインが行われたアカウントをロック
- 不正ログインが行われたアカウントへパスワード変更のお願いを連絡(メール)
- 対策
- 画像認識によるログイン機能を追加する
- 以下の注意喚起を行う
- パスワード使いまわしを行わない
- 定期的にパスワードを変更する
- 過去に使用したパスワードは極力使用しない
- 第三者が容易に推測可能なパスワードは使用しない
インシデントタイムライン
- 2014/03/23〜2014/04/21
- CLUB Panasonicに対して不正ログインが行われる
- 2014/04/18
- 社内調査を開始
- 2014/04/23
- CLUB Panasonicが不正ログインを受けたことを発表
- 2014/04/23 17:00〜04/25 17:00
- システムメンテナンスを実施
ログイン仕様
(1) ログインに必要な情報
- ログインID、またはメールアドレス
- パスワード
- 今後、画像認識機能が追加実装される予定。
2014年4月23日現在のCLUB Panasonicのログイン画面
(2) 簡単ログイン設定時
- 次回以降のログイン時ID入力を省略
- 最大2週間ログイン状態を維持
(3) ログインID・パスワードポリシー
- ログインID
- 半角英数字記号
- 6〜16文字
- 使用可能な記号 ハイフン(-)、アンダースコア(_)、アットマーク(@)
- 英字必須
- パスワード
- 半角英数字
- 8〜16文字
- 英数字両方必須
CLUB Panasonicが提供するポイントサービス
- エンジョイポイントとショッピングポイントの2種類が存在する
- 2つのポイントはそれぞれ関連性はない。交換も出来ない。
(1) エンジョイポイント
- ログイン等様々な行為に応じてポイントが加算される。
- ポイントをためるとPanasonic製品の抽選に応募することが出来る
- 金券との交換サービスはない。
(2) ショッピングポイント
- Panasonic Storeで購入することでポイントが加算される。
- Panasonic Store以外で利用する事は出来ない
- Panasonic Store利用時に1ポイント1円として利用できる。
- 金券との交換サービスはない。
更新履歴
- 2014/04/23 PM 新規作成
- 2014/04/23 PM ポイントサービスについて追記