ケイ・オプティコムのeo光やmineoなどの回線サービスや、eo電気といった電力サービスの利用者が使う「eoID」という会員サービスがある。同社は2018年8月、eoIDからの情報漏洩を発表した。その発表資料には、「第三者が利用者のIDやパスワードを不正に入手し、Webサービスにログインを試みる『パスワードリスト攻撃』による不正ログインと判明いたしました」と書かれていた。
ケイ・オプティコムは8月15日、eoIDの情報漏洩を発表。8月21日に被害が拡大したため、発表内容を更新している
(出所:ケイ・オプティコム)
[画像のクリックで拡大表示]
別のサービスから漏洩したIDやパスワードのリストを使って不正なログインを試みる攻撃を、一般に「リスト型攻撃」や「パスワードリスト攻撃」と呼ぶ。ユーザーが複数のサービスで同じIDとパスワードを登録する、いわゆる「パスワードの使い回し」をしていると、IDとパスワードの組み合わせが一致し、リスト型攻撃が成功する。
リスト型攻撃の流れ。ユーザーがパスワードの使い回しをしていなければ、被害を減らせる
[画像のクリックで拡大表示]
多くのサービスは、IDにユーザーのメールアドレスを使っている。しかしeoIDは、ユーザーがIDの文字列を設定する少数派のサービスだ。別のサービスで流出したリストのほとんどは、eoIDへの攻撃に使えないと考えられる。本当にリスト型攻撃だったのだろうか。
