任天堂のPRに酷似したコナミのPR〜調査結果の信頼性にも疑念

ただ、気になるのはこのコナミのプレスリリースと内容、および文面。とにかく、任天堂の先日のPRとほとんど文章まで一緒なんですよね。たとえば冒頭部分。任天堂は以下のとおり。

日頃は弊社商品をご愛顧賜りまして、誠にありがとうございます。
この度、弊社が運営する会員サイト「クラブニンテンドー」におきまして、他社サービスから流出したと思われるID・パスワードを使用し23,926件の不正なログインが行われたことが判明しました。
現在は、不正ログインが行われたID・パスワードを利用したログインができない措置をし、該当するお客様には弊社より個別に連絡のうえ、パスワード再設定のお願いをしております。
なお、詳細な経緯、被害状況等は次のとおりです。

コナミのは以下のとおり。

平素から弊社商品・サービスをご愛顧賜りまして、誠にありがとうございます。
この度、弊社が運営する「KONAMI　IDポータルサイト」におきまして、他社サービスから流出したと思われるID・パスワードを使用し、35,252件の不正なログインが行われたことが判明しました。
現在は、不正ログインが行われたID・パスワードを利用したログインができない措置をし、該当するお客さまには弊社より個別に連絡のうえ、パスワード再設定のお願いをしております。お客さまにご迷惑とご心配をおかけし、たいへん申し訳ありません。
経緯、被害状況等は次のとおりです。

改行位置を合わせてあります。「お前、コピペして文章作っただろ？」と言いたくなるレベルの文面ですね。おもわずdiffコマンドで差分をとりたくなるぐらいです。調査に関しても、「7/8に大量のアクセスエラーがあることを確認」と書いていますが、明らかに任天堂の件があってから調べただろ、と思われる状況。任天堂の方は7/2に急にアクセスエラーが増えたのかと思っていましたが、コナミのは累計っぽいですよね？そうなると任天堂の実は累計だったのではと勘ぐりたくもなります。

一つ、任天堂と違ってこっちは7/8に気がついて不正ログインは7/7までとなっています。任天堂は7/2に大量アクセスエラーを確認しながらも、むざむざと調査中の7/3,4にも不正ログインを許していたので、それに関してはまだ任天堂よりマシでしたでしょうか。ただ、そもそもこのコピペ感丸出しの文面と内容では、どこまで本当の実情を反映させたものなのか、疑念が残るところです。

利用者は「同じIDとパスの流用」の見直し急務〜サービス提供側は早急に監視強化＆追加対策導入必要

どちらにせよ、今回のケースを見ても、ゲーム関連でこの「リスト型ハッキング」が他にも行われていた危険性は高いです。なまじ正規の手続きでログイン出来てしまっているだけに、その異常性に気づくのが遅れてしまっているところもあるでしょう。消費者側は、とにかく共通のパスワードとIDは使いまわさないことが重要。Yahooとかならなおさらですね。一方で、サービスする他社も、もう単なるIDとパスだけでは相当低いセキュリティの中運用しているという認識を持つべきでしょう。他社サービス経由であり、同じIDを使い回しているのは消費者の方ですが、それが実情なわけですから。顧客全員に100%他社サービスと異なるIDとパス利用を徹底させることも不可能でしょうし、「正規のIDとパスでも不正ログインされる危険はある」という前提の元、サービスをする必要があると思われます。

今回、コナミもおそらく泥縄で任天堂の件があって調べたから判明したのでしょう。日頃からログの監視を強化していれば、もっと早く自前で気付けた可能性もあります。またそうした点に自信がないのであれば、サービス導入コストや利用者の手間が増えてでも、ワンタイムパスワードなどの手法をとらないと、もうまともなネットサービスが運用できないおそれすらあります。

異なるIPからの短時間ログインや、機械的にIPを切り替えてアクセスしているっぽい挙動など、不正ログインには何らかの挙動はあるはず。各社、「大した情報は扱っていないから」とか「そこまでコストかけられない」とかいう甘い考えは捨て、会社の社会的信頼性を維持する意味でも、セキュリティの専門家と協力し、しっかりとしたシステム構築およびセキュリティ監視を行えるよう、早急に見直しを行っていただきたいと思います。任天堂やコナミの事例を他山の石として。