mixiへの不正ログイン攻撃が継続、被害アカウントは26万件を超えて拡大中

　株式会社ミクシィは17日、同社が運営するSNS「mixi」のアカウントに対して行われている不正ログイン攻撃の被害状況を発表した。16日24時までに約430万回の不正ログイン試行があり、26万3596アカウントで不正ログインを受けたとしている。

　疑わしいIPからの攻撃が5月30日から発生。6月2日にユーザーからの問い合わせを受けて調査した結果、不正ログインを確認した。これを受けてミクシィでは6月5日、該当アカウントのユーザーに対してmixiのメッセージ機能で通知し、登録メールアドレスの変更とパスワードの再発行を呼び掛けていた。その時点で不正ログインを受けた可能性のあるアカウントは約4万件だったが、その後も攻撃は継続しており、対象アカウントも拡大。今後も被害アカウントが増加する可能性があるという。

　ミクシィでは、不正ログイン試行の発信元IPアドレスに対してアクセス制限を実施。また、不正ログインを受けたアカウントのうち、1カ月以内にユーザーがmixiにログインしている7万8058アカウントについては、mixiメッセージでパスワードの変更を依頼。一方、1カ月以内にログインしていない16万7617アカウントについては、ログインを一時凍結する対策をとり再び不正ログインできないよう遮断したとしている。

　なお、今回の不正ログインによる課金やmixiポイントの不正利用は現時点では確認されていないという。また、ミクシィのシステムではクレジットカード情報は保有していないとしている。

　ミクシィによると、同社サーバーへの侵入によるユーザーアカウント情報の流出ではなく、他社サービスから流出したID・パスワードのリストを用いて不正ログイン試行する手法（いわゆる“パスワードリスト型攻撃”）とみられるという。他社サービスと同一のパスワードを使っている場合は変更するよう強く推奨している。