ケイ・オプティコムのeo光やmineoなどの回線サービスや、eo電気といった電力サービスの利用者が使う「eoID」という会員サービスがある。同社は2018年8月、eoIDからの情報漏洩を発表した。その発表資料には、「第三者が利用者のIDやパスワードを不正に入手し、Webサービスにログインを試みる『パスワードリスト攻撃』による不正ログインと判明いたしました」と書かれていた。
別のサービスから漏洩したIDやパスワードのリストを使って不正なログインを試みる攻撃を、一般に「リスト型攻撃」や「パスワードリスト攻撃」と呼ぶ。ユーザーが複数のサービスで同じIDとパスワードを登録する、いわゆる「パスワードの使い回し」をしていると、IDとパスワードの組み合わせが一致し、リスト型攻撃が成功する。
多くのサービスは、IDにユーザーのメールアドレスを使っている。しかしeoIDは、ユーザーがIDの文字列を設定する少数派のサービスだ。別のサービスで流出したリストのほとんどは、eoIDへの攻撃に使えないと考えられる。本当にリスト型攻撃だったのだろうか。