ブラザーオンラインにおける不正ログイン発生

ブラザーオンラインからメールが送られてきました。

「【重要】会員向けサービスサイト「ブラザーオンライン」における不正ログインの発生について」というタイトルのメールです。

ブラザーのプリンタ購入時に登録

ブラザーのプリンタを購入した際に、ブラザーオンラインに加入しました。今回のメールは、メール受信に承諾していない会員にも重要なお知らせのために送付していると書いてあります。

また、「当メールは現時点の外部の専門機関を交えた弊社調査・解析において不正ログインの痕跡が発見されず、不正ログインの対象外と判断されるアカウントをお持ちのお客さまへのご案内となります。」ともメールの冒頭に記載されていました。

犯人は一部の会員のアカウントに不正ログインをして、その会員の「トク刷るポイント」を不正に利用したこと、不正ログインされた会員の登録情報が犯人から閲覧できる状況にあったとのことです。

不正ログインされたアカウント数は最大で126,676件です。不正にポイント交換が行われたと推測されるアカウント数は最大で683件です。

トク刷るポイントについては、換金性の高い別のポイントに交換されたことが確認されています。全部で404,900円相当と発表されています。

登録情報については、氏名、生年、メールアドレス、電話番号、法人情報、ほかに任意登録の情報としては、住所、携帯電話番号、Fax番号、性別、プロフィール画像が閲覧可能になっていた可能性があります。

犯人は何らかの方法で入手したユーザーIDとパスワードの組み合わせを利用して不正ログインを試みたと推測されています。

私自身は各サイトで別々のIDとパスワードの組み合わせを利用するようにしているので、どこかのサイトで情報漏洩や、フィッシングサイトで情報が漏れたとしても、数珠繋ぎで他のサイトも不正ログインされないように対策していたことが功を奏したのかもしれません。

色々なサイトで同じIDとPWを使いまわすことは、家に例えると、色々な家で同じ鍵を使い回すようなものです。鍵が盗まれたときに一網打尽で他の家のものまで盗まれてしまいます。

今回、ブラザー社が「ご心配、ご迷惑をおかけすることとなり、誠に申し訳ございません」と謝罪する形になっていますが、本当にブラザーがどこまで悪かったのかは議論が分かれそうな気がします。

もちろん、二要素認証などの高度なログインのシステムを採用していれば、今回のトラブルは防げたかもしれません。しかし、他のサイトと同じIDとPWの組み合わせを流用していたのだとすると、利用者の不注意も影響しているように思います。

全部のサイトでIDとPWの組み合わせを変えると覚えるのが無理という話もありますが、最近はブラウザが持っているパスワードマネージャー機能が優秀なので、ブラウザがそれぞれの組み合わせを覚えてくれているようになってきました。

ゆくゆくはパスワードレスで素早く認証可能なFIDOが普及すると思いますが、それまでの間は会員登録するときにはIDとPWはサービスごとに別の組み合わせにする、2段階認証が設定可能なときは二段階認証にするなど、利用者側の防衛策が大事です。