先日、次のようなメールが送られてきました。
平素は @nifty(アット・ニフティ)をご利用いただき、誠にありがとうございます。
このたび、お客様にご契約いただいております @niftyIDより、大量のメールが送信されており、当該メール送信が弊社設備に重大な支障をきたす恐れがある事を確認いたしました。
弊社ではお客様の責任の下、できるだけ自由にサービスをご利用いただいておりますが 「@niftyの設備の利用もしくは運営に支障を与える行為(与えるおそれのある行為を含みます)」は @nifty会員規約第18条(14)により、ご遠慮いただいております。
(文末の@nifty会員規約の抜粋をご参照ください。)
このままの状態が継続した場合、弊社サービスの提供においても重大な支障が発生する恐れがある事から緊急性が高いと判断し、やむをえず @nifty会員規約 第29条に基づき、メール【送信数】の制限(Webメール、SMTP認証によるメール送信数制限)を行っております。
本件についてお心当たりのない場合は、お客様ご利用のパソコン端末などのウイルス感染や第三者の不正利用なども考えられます。
メールサービスの制限解除をご希望の場合は、下記に記載いたしました手順に沿ってご対応後、弊社カスタマーサービスデスクまでご連絡くださいますようお願い申し上げます。
■対応手順
--------------------------------------------------------------
<1.ウイルス駆除>
ご利用いただいているウイルス対策ソフトの、ウイルス定義ファイルを最新に更新した上で、ウイルス駆除のご対応をお願いいたします。
<2.パスワードの変更>
「ログインパスワードとメールパスワード」の変更も併せてご対応ください。
■ログインパスワードの変更はどこでできますか。
http://qa.nifty.com/cs/catalog/faq_nqa/qid_10528/1.htm
■メールパスワードの変更はどこでできますか。
http://qa.nifty.com/cs/catalog/faq_nqa/qid_10073/1.htm
<3.完了連絡>
以下窓口へ「ウイルス駆除」「パスワード変更」が完了した旨、ご連絡いただき、メールサービスの制限解除をご依頼ください。
【@niftyカスタマーサービスデスク】
電話番号 :通話料無料 0120-xx-xxxx
携帯電話/PHS /海外のお客様 03-xxxx-xxxx
受付時間 :毎日 10:00~19:00(当社指定の休日を除く)
すでにお気付きのうえ、ご対応いただきました場合は、連絡が行き違いとなりましたことをご容赦ください。
=========================================================
【@nifty会員規約】
http://www.nifty.com/policy/terms.htm
<@nifty 会員規約第18条(禁止事項)抜粋>
(14)他者の設備又は@niftyサービス用設備(ニフティが@niftyサービスを提供するために用意する通信設備、電子計算機、その他の機器及びソフトウェアをいい、以下同様とします。)に無権限でアクセスし、又はポートスキャン、DOS 攻撃もしくは大量のメール送信等により、その利用もしくは運営に支障を与える行為(与えるおそれのある行為を含みます)。
<@nifty 会員規約第29条(利用制限)抜粋>
1.ニフティは、会員が以下のいずれかに該当する場合は、当該会員の承諾を得ることなく、当該会員の@niftyサービスの利用を制限することがあります。
(1)ワーム型ウィルスの感染、大量送信メールの経路等により、当該会員の 個人認証情報が関与することにより第三者に被害が及ぶおそれがあると判断した場合。
=========================================================
ニフティ株式会社
[ABUSE]
=========================================================
要点は、
NiftyメールのIDとパスワードが漏洩し、私のメールアカウントから、大量にスパムメールが送信されている
ということです。
このメールを発端に、考えたことを書きます。
とりあえず、指示通りに、ウイルスチェックとパスワードの変更をしました。
ウイルス対策ソフトの、ウイルス定義ファイルを最新に更新した上で、ウイルスの完全チェックを行いました。
しかし、ウイルスに感染している気配はありませんでした。
そもそも、メールソフトを使っていません。
ですから、メールソフトがウイルスに感染して、そこからユーザーIDとパスワードが漏れたとは考えられません。
Niftyメールを、G-mailで受信するように設定しているので、G-mail側から漏洩した可能性はあります。
でも、漠然と「それはないだろうな・・・」と考えています。
G-mailからの漏洩だと、もっと、ネットの中で大騒ぎになっていると思うからです。
どうして、ユーザIDとパスワードが漏れたのだろう?
私には、メールサーバーにアクセスするパスワードが漏洩した理由に、心当たりがありませんでした。
で、ちょっと、ネット検索してみると、2013年7月17日付けで次のような記事を見つけました。
プレス
2013年7月17日
ニフティ株式会社
不正なログインの発生について
弊社は、特定のIPアドレスからの不正なログインにより、@nifty会員向けの「お客様情報一覧」ページにて、お客様のご登録情報(以下、会員情報)が閲覧された可能性があることを確認いたしました。
1.経緯と被害状況について
・2013年7月16日(火)午前10時に、特定のIPアドレスからの「お客様情報一覧」ページへの不正なログインにより、会員情報が閲覧された可能性があることを確認し、調査を開始しました。
・不正なログインは、2013年7月14日(日)~16日(火)にかけて行われており、少なくとも21,184IDが対象となることが判明しました。現在、該当のIPアドレスからのアクセスを遮断しております。
・該当のお客様(21,184ID)には、明日(2013年7月18日(木))以降メールにて個別にご連絡し、パスワードを再設定していただくようご案内いたします。
・お客様のIDが今回の対象IDかどうかを確認するツールを会員サポートページ( http://support.nifty.com/support/ )で準備ができしだい公開する予定です。 現時点では、弊社からのIDとパスワードの漏えいは確認されておりません。今回の不正なログインは、何らかの手段で入手されたIDとパスワードを用いて行われたものと考えられます。
2.「お客様情報一覧」ページで閲覧された可能性のある会員情報について
ご契約のコースにより異なりますが、「氏名」「住所」「電話番号」「生年月日」「性別」「秘密の質問と回答」「ご契約状況」「ご利用料金」「メールアドレス」などの情報が閲覧された可能性があることを確認しております。
「クレジットカード情報」につきましては、情報の一部を保護(マスキング)した状態で表示しているため、決済手段としては利用できません。 現時点では会員情報などの改ざん、および有料サービスにおける不正利用は確認されておりませんが、継続して調査してまいります。
3.実施済みの対策について
不正なログインを行ったIPアドレスからのアクセスを遮断するとともに、同様の事象が発生しないよう監視体制を一層強化するなどの対策を行いました。
本件に関しまして、引き続き調査を進め、その結果は随時会員サポートページでご案内いたします。
○会員サポートページアドレス : http://support.nifty.com/support/
不正なログインの発生について |ニュースリリース|ニフティ株式会社:ニフティとなら、きっとかなう。With Us, You Can.
【関連記事】
一応、対応は完了したようでしたが・・・
更に、今年の2014年1月24日にも・・・
2014年01月24日
ニフティ株式会社
お客様情報一覧の不正なログインの発生について
@nifty会員サポートWEB内の「お客様情報一覧」ページで、特定のIPアドレスからの不正なログインにより、一部のお客様のご登録情報が閲覧された可能性があることを確認いたしました。
現時点では、弊社からの@nifty IDとパスワードの漏えい事実、またご登録情報などの改ざん、および有料サービスにおける不正利用は確認されておりません。
状況の詳細について
経緯と被害状況は、弊社ニュースリリースにてご確認ください。
ニフティ株式会社 ニュースリリース(不正なログインの発生に関するご報告)別ウィンドウで開きます
対象かどうかの確認方法について
対象IDかどうか確認いただけるツールをご用意しました。
こちらに@nifty IDとパスワードを入力いただくと、お客様の@nifty IDが本件の対象か対象ではないかの確認ができます。
@niftyユーザー名/@nifty IDの状況確認ログインが必要です
対象者の方への告知について
不正なログインをされている可能性がある方に対し、メール等でご連絡いたします。
お客様へのお願い事項
不正ログインは、お客様環境におけるウイルス、フィッシングサイトのほか特定アプリの脆弱性などの可能性も考えられますので、以下の4点について、順に対応くださいますよう、お願いいたします。
(1)ウイルスチェックの実施
ご利用のウイルスソフトにてウイルスチェックを実施いただき、ウイルスの存在が確認された場合にはウイルスの駆除をお願いいたします。
(2)Windows Updateの実施
Windows updateを行っていただき、ご利用のパソコンのプログラムを最新の状態にしてください。
Microsoftセキュリティホール情報
(3)ログインパスワード / @niftyユーザー名パスワードの変更
現在ご利用中のログインパスワード / @niftyユーザー名パスワードを再設定していただきますようお願いいたします。
パスワードの変更
(4)秘密の質問と回答の変更 ※登録されている方のみ
「秘密の質問」に登録されている場合は再設定をお願いいたします。
秘密の質問と回答の変更方法
パスワードの不正利用を防ぐための対策については、以下のページでご案内しております。
パスワードの不正利用を防ぐために
本件に関するお問い合わせ 本件に関するお問い合わせは、以下の窓口までお問い合わせください。
@niftyカスタマーサービスデスク
ちなみに、対象IDかどうかを確認するツール( @niftyユーザー名/@nifty IDの状況確認)を実施した結果は、次の通り、対象外と表示されています。
自社の情報漏洩問題を、利用者のパソコンにおけるウイルスやセキュリティホールの問題にすり替えるような記述は、ちょっと頂けません。。。
これまでは、パスワードは、自分できちんと管理し、漏れないようにすれば、問題は生じないと思い込んでいました。
もし、漏れたとしても、それは、自分の責任だと・・・。
定期的にパスワードを変更しても、ブラウザ経由で情報が漏洩する可能性が生じるので、あまり意味はないとも考えていました。
今回、私のユーザIDとパスワードが、Nifty側から漏洩したと断定することはできません。
しかし、今回の件で、パスワードは定期的に変更すべきだと思い直しました。
なぜなら、Niftyに限らず、パスワードを管理する業者側からの情報漏洩が頻繁に起こっているだろうと、想像できるからです。
仮に、私のパスワードなどが、昨年の7月に漏洩したのであれば、漏洩から使用されるまでのタイムラグは約9ヶ月。
今年の1月に漏洩したのであれば、タイムラグは4ヶ月。
未発表の漏洩があるのであれば、タイムラグは???。
少なくとも、1ヶ月に1回くらいは、パスワードを変更した方が良いのだろうと思いました。
色々なサイトを利用している関係で、ユーザーIDやパスワードを沢山持っています。
それらを定期的に変更するのは大変です。
なので、クレジットカードを利用して買い物をするようなショッピングサイトでは、1ヶ月に1回くらいは、パスワードを変更しようと思います。
(クレジットカード情報漏洩の対策にはなりませんが・・・)
それと、不正なことをする人たちは、漏洩したユーザIDとパスワードを用いて、他サイトでもログインできるかどうかのチェックをするんじゃないかと思えます。
ですから、サイト毎に、異なったユーザIDやパスワードにすることも大切だと思いました。