任天堂、クラブニンテンドー不正ログインで個人情報流出〜7/2に判明、6/9から2.4万件分

ゲーム 任天堂

昨今、いろいろな会社が被害をうけている不正アクセス問題。単なるセキュリティホールをついたハッカーによるものだけでなく、それら経緯で流出したと思われるID・パスワードを用いたリスト式アカウントハックなども横行し、どこも困難な問題への対応に追われているところです。最近でもYahooで大規模不正アクセスがありましたね。

当社サーバへの不正なアクセスについて - Yahoo! JAPAN - プレスリリース
「当社サーバへの不正なアクセスについて」(5/17発表)の追加発表 - Yahoo! JAPAN - プレスリリース

これ以降もいくつか不正アクセス問題があっていた中、今度はとうとう任天堂までこの不正アクセスの標的となってしまったようです。

「クラブニンテンドー」サイトへの不正ログイン発生のご報告とパスワード変更のお願い - 任天堂ホームページ:お客様へのお知らせ
クラブニンテンドーに不正ログイン攻撃、該当ユーザは要パスワード再設定 - Engadget Japanese

リスト型アカウントハッキングの標的に〜名前、住所、電話番号、メアドが流出

不正アクセスの内容としては、これまでにも見受けられた「他社サービスで流出したと思われるIDとパスワードを利用した不正ログイン」、すなわち「リスト型アカウントハッキング」ですね。ドラクエXスクエニでも以前、注意喚起を行っていた内容です。

【重要】 「リスト型アカウントハッキング」への対策について (2012/10/04)|目覚めし冒険者の広場

任天堂の場合、不正アクセスの痕跡に気がついたのは7/2に大量のアクセスエラーが出てからとのこと。そこから調査を行い、6/9から7/4の間に不正ログイン件数が23,926件、試行回数が15,457,485回あったことが確認できたとのことです。

クラブニンテンドーはポイントでのプレゼント交換が中心で、管理していた情報にクレカ番号は含まれていません。ただ情報としては氏名、住所、電話番号にメアドが含まれます。特にポイントでの景品交換がメインで、実物を送ってきてもらう関係から虚偽の住所でなく実際の住所を登録している人が多いと思われます。任天堂のゲームを購入し、ポイント交換などに興味あるという嗜好まで分かった形で実住所と氏名、電話番号、メアドが若ってしまうというのは、かなり痛い情報ですね。今後、名簿業者に流れて怪しいDMや勧誘、詐欺などに悪用される可能性は十分あります。

今回対象となった人にはメールを送信し、パスワードをリセットして変更を依頼したとのこと。情報を漏らされた側としてはたまったものじゃないですよね。今後そうした怪しいDMや詐欺などに晒される危険が増えたわけなので。任天堂を装った詐欺の「パスワード変更依頼メール」なども起こりかねないので、十分注意が必要です。(自分は対象外だったようで、不幸中の幸いでしたが…)

問われるセキュリティ監視体制と意識

今回、個人的に問題に感じるのは「不正アクセス開始から発覚まで1ヶ月近く要したこと」、それから「7月2日に大量のアクセスエラーで不正アクセスの可能性に気づきながらサーバーを止めず、結果的に7/4まで不正アクセスを許したこと」です。全車については、これだけYahooなどの関連で不正アクセスが騒がれている中、細心の注意を持って監視などを行うべきだった状況で、1ヶ月もなぜ気がつけなかったのか、ということ。そして特に問題に感じるのは後者、「なぜ7/2にサーバー止めなかったか」です。少なくとも7/2にサーバーを止めていれば、7/3,4に起きている不正アクセスは防げたはず。ソニーPSNで大量流出したときでさえ、一時的にサービス凍結していました。(あっちはあっちで嘘ついてサービス止めて後から発表で大ヒンシュクでしたが。不正アクセスも「既存のセキュリティホールを放置」という低レベルのものでしたし。)

不正アクセスの発見が遅れたこと、可能性に気づいてからも被害をひろげてしまったことは、任天堂のセキュリティおよび個人情報管理への意識の低さを指摘されても仕方ないところがあると思われます。果たして、任天堂はそもそもクラブニンテンドーのセキュリティチェックをどうやって行っていたのでしょうか?社内にセキュリティ監視部門はあり、そこでどのような監視を日時行っていたのか、もしそれがしっかりしているなら、なぜ1ヶ月も不正アクセスに気がつけなかったのか。1500万を越えるアクセスが7/2以前にも数百万単位で無かったのか?任天堂は信頼回復を行いたいのであれば、こうした詳細について第3者委員会でも設けて、調査して報告すべきだと思います。

安心して個人情報を預けられる企業へ〜消費者側も意識向上必要

現在、任天堂はDL販売などにも注力し、WiiUではニンテンドーIDなども導入してネットでの顧客サービス拡大に力を入れています。そうした中、こうした不正ログインによる個人情報流出は大きな痛手でしょう。他社サービス流出情報に基づくハッキングで、対策が難しい部類のものであるのはたしかですが、それは他社も同様。これだけ世間で騒がれている中、まんまとしてやられた訳ですから、任天堂にたいしての信頼は下がることはあれ上がることはないでしょう。

上記で一案として上げたような第3者委員会の設置、そこまで行かなくてもせめて「なぜ7/2の時点でサービスを止めなかったのか」「7/2の大量エラー以前に不正アクセスを発見できそうなタイミングは無かったのか」といったことについて、もう少し詳細な説明は必要でしょう。また、顧客の住所などを漏洩させてしまった件については、対象者に何か誠意を見せる必要もあると思います。さらに、メルマガなどを通じて、リスト型アカウントハッキングに対する注意喚起をもっと熱心に行う必要があるでしょうね。

一方、消費者側も意識の向上は必要でしょう。他社と同じIDとパスワードを極力用いない、さらにこうした不正アクセス被害にあった場合は、同様のIDのサービスなどはすぐに変更するなど、対策が必要です。ドラクエXなどでいえば、ワンタイムパスワードを導入したりするのも手ですね。

セキュリティ強化キャンペーン (2013/6/17)|目覚めし冒険者の広場

個人情報が常に不正に危険に晒される嫌な世の中ですが、企業と個人、双方がより踏み込んだ防衛策を講じることが必要になってくるでしょう。自分も完全とは言えないところなので、なんとか被害の生じないようにしていけたら、と思います。