ケイ・オプティコムのeo光やmineoなどの回線サービスや、eo電気といった電力サービスの利用者が使う「eoID」という会員サービスがある。同社は2018年8月、eoIDからの情報漏洩を発表した。その発表資料には、「第三者が利用者のIDやパスワードを不正に入手し、Webサービスにログインを試みる『パスワードリスト攻撃』による不正ログインと判明いたしました」と書かれていた。

ケイ・オプティコムは8月15日、eoIDの情報漏洩を発表。8月21日に被害が拡大したため、発表内容を更新している
(出所:ケイ・オプティコム)
[画像のクリックで拡大表示]

 別のサービスから漏洩したIDやパスワードのリストを使って不正なログインを試みる攻撃を、一般に「リスト型攻撃」や「パスワードリスト攻撃」と呼ぶ。ユーザーが複数のサービスで同じIDとパスワードを登録する、いわゆる「パスワードの使い回し」をしていると、IDとパスワードの組み合わせが一致し、リスト型攻撃が成功する。

リスト型攻撃の流れ。ユーザーがパスワードの使い回しをしていなければ、被害を減らせる
[画像のクリックで拡大表示]

 多くのサービスは、IDにユーザーのメールアドレスを使っている。しかしeoIDは、ユーザーがIDの文字列を設定する少数派のサービスだ。別のサービスで流出したリストのほとんどは、eoIDへの攻撃に使えないと考えられる。本当にリスト型攻撃だったのだろうか。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)は12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら