ケイ・オプティコムは8月16日、同社のサービス用Webサイトへのログインなどに利用する「eoID」において不正ログインを検知したことを明らかにした。対象ユーザーは一部の個人情報を閲覧された可能性があるが、発表時点では顧客情報の流出などは確認できていないという。
eoIDはケイ・オプティコムのアカウントサービス。「mineo」「eo(イオ)光」など、同社のサービスを契約しているユーザーはeoIDのアカウントを使って契約者用Webサイト(mineoマイページなど)にログインする。
今回の不正ログインは8月13日22時5分から15日21時までにかけて、特定のIPアドレスから行われたという。事象を確認した同社は、当該IPアドレスからのログインを全て遮断するなどの対応を行った。
同社の調査の結果、IDとパスワードは同社の内部サーバから流出したものではなく、いわゆる「パスワードリスト型攻撃」によって不正ログインが試みられたことが明らかとなったという。8月15日21時時点で、これにより不正ログインされたユーザー(ID)は6458件に上る。
不正ログインにより、IDにひも付いた住所、氏名、性別、電話番号、生年月日、メールアドレスなどが閲覧された可能性がある。ただし、銀行口座やクレジットカード番号などの支払い情報については、表示時にマスク(一部非表示)処理されるため閲覧の可能性はないという。
不正ログインの対象になったIDについては、被害確認後初めて行うログイン後、パスワードの変更をしないとサービスを利用できないようになっている。個別にメールで連絡もしているという。
ケイ・オプティコムではeoIDユーザーに対して「他社サービスとは違うパスワードを設定する」「第三者が容易に推測できるパスワードを使用しない」ことを呼びかけている。
Copyright © ITmedia, Inc. All Rights Reserved.