Amebaが不正ログインされやすいのは脆弱なパスワード設定が原因

Amebaが不正ログインされやすいのは脆弱なパスワード設定が原因

Amebaがまた不正ログインされる

株式会社サイバーエージェントは29日、同社が提供するサービス「Ameba」の約59万アカウントが不正ログインされたことを公表した。同社では、該当アカウントのパスワードをリセットした上で、該当アカウント保有者に個別にメールで連絡し、パスワードを再設定するよう求めている。リスト型アカウントハッキング(リスト型攻撃)によるものと推測されている。

Amebaにまたリスト型攻撃、約59万アカウントが不正ログイン受ける、パスワード再設定を呼び掛け

サイバーエージェントが提供するサービス「Ameba」でまた不正ログインが発生した。

「また」というのはどういうことかというと実は今年の4月29日から5月7日にもAmebaは第三者による不正ログインが発生していた。

IT企業のサイバーエージェントは11日、同社がブログやゲームのサービスを提供している「アメーバ」で、4月29日夜から5月7日夕までに5万905件の利用者のアカウントが第三者に不正にログインされていたと発表した。メールアドレスや生年月日、仮想通貨の履歴情報などが閲覧された恐れがある。

「アメーバ」に不正ログイン5万件 PWをリセット

脆弱なパスワード設定が原因

なぜサイバーエージェントのサービス「Ameba」は不正ログインが多発しているのか。結論から言うとそれは脆弱なパスワード設定が原因だ。

一般的なサイトの場合、パスワード設定時に使用できる文字数は記号を含むことができ、文字数も最低8文字以上、最大数十文字で設定できる場合が多い。

しかし、Amebaは使用できる文字は半角英数字のみで文字数も最低6文字、最高12文字までと非常に少ない。

この問題に関しては今年の5月のときにツイートで問題提起をしており、サイバーエージェント側にも改善を求めたが結果は周知のとおりだ。

パスワード設定を強化しない理由

Amebaの脆弱なパスワード設定はサイバーエージェント側も当然認識している。その証拠にAmeba Owndからのアメーバ会員登録画面のパスワード入力欄には「6文字以上半角英数字のみ」と書かれており、最大12文字までしか入力できないことが意図的に隠されている。Amebaの会員登録画面でパスワード入力欄に最大12文字までしか入力できないことが意図的に隠されている

アメーバ新規登録

Amebaのような大規模なサービスでパスワード強化のための改修を行うと莫大な時間・労力・コストがかかってしまうため経営面を考えた場合、積極的に行うことは難しい。(実際今年の5月に不正ログインがあった際には何も行われなかった)

パスワード強化を行うとユーザー側のパスワード設定変更が必要になり以下のような問題も発生するのでサイバーエージェント側としてはなるべくパスワードの強化は行いたくないという思惑がありそうだ。

ユーザーにパスワード変更を求める

いままでのパスワードではログインできなくなる

ユーザーが利用しなくなる

ユーザー数が減少する

パスワード強化まで使用は控える

さすがに前回の不正ログインから約半年後にまた発生してしまったので今回ばかりは藤田社長の指揮によりパスワード強化の対策が行われるはずだ。

もし今回も何の対策も講じられなかった場合はAmebaのログインが必要なサービスの利用は控えたほうが良い。

不正ログインされると仮想通貨の不正使用や愉快犯に自分のブログなどに殺害予告などを書き込まれて名誉毀損などの被害に会い、最悪警察に逮捕される恐れもある。