-
- エスカ&レン:
- 今月もやってきました!「エスカとレンのセキュリティ通信」のお時間です。
-
- エスカ:
- 8月になりましたが、毎日気温が高い日が続いていますね。
-
- レン:
- 本当だね。日中は35度を超えることもあって、外出するのが大変な日も増えてきたよ。
-
- エスカ:
- エアコンや扇風機を上手に使って、室内でも熱中症にならないように気をつけたいですね。
-
- レン:
- みなさんも水分補給を忘れずに、無理せずこの暑さを乗り切りましょう!
さて、今回ご紹介するトピックスは・・
リスト型攻撃、19万以上のアカウントで不正ログイン|株式会社パル
-
- レン:
- 不正入手されたID/パスワードを用いたリスト型攻撃により不正アクセスが発生した事例をご紹介します。
(参照)6/15に発生した不正ログインについてのご報告
株式会社パルは2025年6月20日、同社が運営するオンライン通販サイト「PAL CLOSET」に対して「リスト型アカウントハッキング攻撃」によるものと推測される不正ログインが発生したことを公表しました。
同社の発表によると、2025年6月15日から6月16日にかけて1,722,379件の不正ログインの試行があり、そのうち実際にログインされたものは194,307件とのことです。これにより一部ユーザーの会員情報ページが閲覧された可能性がありますが、システムの仕様上、閲覧されたページは特定できていません。
会員情報ページには、氏名(漢字・カナ)、性別、生年月日、郵便番号、住所、電話番号、バーコード番号が記載されていましたが、現時点で不正注文などの二次被害は確認されていません。
同社によると、パスワードはハッシュ化して安全に管理されており、IDやパスワードが同社から流出した証跡はありませんでした。不正ログインが確認されたユーザーには、6月20日付で個別にメール連絡を実施しています。
さらに、被害拡大防止のため全会員のパスワードを無効化し、再設定を呼びかけています。また、他のWEBサービスと同じパスワードを使い回さないよう注意を促しています。
参考URL:
https://cybersecurity-jp.com/news/110293
https://www.palcloset.jp/display/article/detail/?acd=250620all_002&b=
■推奨する対応策
- サービスごとに異なるパスワードを設定し、使い回しを避ける
- 長く複雑なパスワードを設定する
- 情報漏洩が検知された際には、速やかにパスワードの変更を実施する
- ログイン試行回数に制限を設ける
■関連サービス
・ SCSmart ASM ・・漏洩した認証情報の把握
-
- そふくリス:
- リスト型アカウントハッキング攻撃は、他のサイトから流出したIDやパスワードを使う手口だよね。同じパスワードを使っている人は、今すぐ変えないと危険だね。
-
- レン:
- 今後も他のサービスで起きる可能性があるから、強度の強いパスワードを使うのはもちろんだけど、多要素認証を設定できるサービスでは絶対に設定した方がいいよ。
-
- エスカ:
- 不正注文などの被害は出ていないけど、念のためクレジットカードの利用明細や、他サービスのログイン履歴もチェックしておくと安心だよ。
日本人の“パスワード使い回しすぎ問題” グローバル調査で発覚
-
- エスカ:
- 先ほどの事例にもありましたが、昨今、課題となっているパスワード管理について、衝撃的な日本の結果が出ていましたので、さっそく見ていきましょう!
日本の消費者の7割以上が、セキュリティリスクのある“パスワードの使い回し”を行っている――。アイデンティティ管理サービスを提供する Okta Japan は、2025年6月24日、世界9か国の消費者を対象とする「Customer Identity Trends Report 2025」 の結果を公開しました。
日本・米国・英国・ドイツ・フランス・オランダ・カナダ・インド・オーストラリアの9か国・計6750名(各国750名)を対象に、2025年2月に実施されています。
本調査では、世界平均で消費者の68%が「何らかの形でパスワードを再利用(使い回し)している」ことが明らかとなっています。さらに日本は、それを上回る71%がパスワードを使い回していました。
詳しく見ると、「すべての個人アカウントで同じパスワードを使っている」消費者は世界の17%に対して日本は13%と少ない一方、「少数のパスワードを使い回している」消費者が日本は58%を占め、世界平均(51%)より高く、パスワードの再利用率は71%に達していることが判明しました。
(図表1:消費者のパスワード利用動向)
SMS認証、生体認証など、現在ではさまざまな認証方式(認証要素)が利用されるようになっています。こうした認証要素について、世界の消費者が最も「便利」だと思うのは「パスワード」で73%。一方、日本の消費者は56%にとどまりました。他の認証要素に対しても、日本の消費者は他国と比べて利便性を感じていません。
- 指紋認証:日本48%(世界62%)
- 顔認証:日本37%(世界55%)
- 政府発行の身分証明:日本16%(世界34%)
(図表2:「便利」だと思う認証要素)
また、さまざまな認証要素の「安全性」の評価においても、日本の消費者の評価は他国よりもかなり厳しくなっています。
- 顔認証:日本43%(世界62%)
- 認証アプリ:日本45%(世界58%)
- パスワード:日本37%(世界57%)
- 政府発行の身分証明:日本30%(世界54%)
- パスキー:日本41%(世界54%)
(図表3:消費者が「安全」だと思う認証要素)
唯一の例外は「指紋認証」で、日本でも65%が「安全」と感じており、世界(71%)との差が最も小さい結果でした。
<まとめ>
本調査により、日本の消費者はログイン認証手段に対する「利便性」と「安全性」の評価が世界平均を下回っているにもかかわらず、パスワードの再利用が常態化しているなど、潜在的なリスクが存在しています。
利便性と安全性を兼ね備えたパスワードレス認証や、利用者の行動や環境の変化に応じて必要なときだけ追加認証を行うしくみなどを導入することで、安全性の高い利用を促していく必要があります。
参考URL:
https://www.okta.com/ja-jp/newsroom/press-releases/citr2025/
https://ascii.jp/elem/000/004/296/4296587/
https://scan.netsecurity.ne.jp/article/2025/07/01/53130.html
■推奨する対応策
<ユーザー側の対策>
- サービスごとに異なるパスワードを設定し、使い回しを避ける
- パスワード管理ツールや、ID管理システムを導入し、ユーザーが簡易なパスワードを設定できないようにする
<システム運用側の対策>
- ログイン試行回数に制限を設ける
- 多要素認証を実装する
■関連サービス
・
SCSmart ASM
・・漏洩した認証情報の把握
・
Active Directory 監視サービス
・・AD 配下の機器に不正アクセスの兆候がないか、リアルタイムで監視する
・
Security FREE for Microsoft 365
・・Microsoft 365 で不正アクセスや認証情報の漏洩がないかをリアルタイムで監視する
-
- そふくリス:
- 日本人ってこんなにパスワードを使い回しているんだね・・
-
- エスカ:
- そうみたいだね。パスワードは忘れてしまっても困るけど、これだけ使い回しているといつ漏洩してもおかしくないね。
-
- レン:
- ユーザーがなるべくパスワードを覚えなくてよい安全な方法を普及していく必要があるし、サービス提供側もユーザーに安全に利用してもらえるような取り組みが必要だね。
-
- そふくリス:
- 従業員の認証情報がどれくらい漏洩しているのかを、事前に把握することも必要だね。
お役立ち資料
-
- レン:
- ということで、今月の「エスカとレンのセキュリティ通信」は以上となります。
バナーから、セミナーやサービス紹介ページを確認できますので、ご興味ありましたらぜひ確認してみてください。
前回の記事はこちら!
IBMレポートから学ぶ認証情報漏洩の現状&不正アクセス事例の解説 -セキュリティ通信-
無料セミナーのご案内
関連サービス
記事内でご紹介したサービスは下記からご覧いただけます。
