Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

LINEにPWリスト攻撃 - 2段階認証未適用の問合フォームが標的に

LINEは、2段階認証が適用されていない問い合わせフォームがパスワードリスト攻撃を受けて一部ユーザーがログインされ、電話番号やユーザー識別子などを取得された可能性があることを明らかにした。

同社が用意した問い合わせフォームに対して2020年10月3日より不正ログインの試行を受けていたもの。2021年1月19日に試行を検知した。

攻撃を受けた問い合わせフォームは、2段階認証が適用されておらず、IDとして利用するメールアドレスとパスワードだけでログインできる状態で、攻撃を通じて3035件のユーザーがログインを許した可能性がある。2888件が国内のユーザーで、「台湾(21件)」や「タイ(3件)」のほか、123件の国外ユーザーなども被害にあった。

ログインを許した場合、IDやパスワードの有効性を把握された可能性があるほか、HTMLフォーム内に電話番号、ユーザー識別子が埋め込まれる仕様だったため、これら情報も窃取された可能性がある。

同社は、不正ログインを受けた可能性があるユーザーに対してパスワードの初期化を実施。被害など確認した場合は同社まで連絡するよう注意を喚起した。

問題の問い合わせフォームについては、フォーム内にユーザー情報を埋め込まない仕様へと変更。2月8日11時ごろより2段階認証の適用を開始している。

(Security NEXT - 2021/02/12 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

職員メルアカに不正アクセス、スパム約3万件が送信される - 北海道大病院
統合DBシステムで不正ログイン被害、改ざんも - 上智大
「ETC利用照会サービス」にPW攻撃、約125万件のアクセス
「エン転職」にパスワードリスト攻撃 - 約25万人がアクセス許す
英語検定試験「TOEIC」の申込サイトに大量のログイン試行
「ショップチャンネル」で不正ログイン注文 - 「後払い」を悪用
止まぬPWリスト攻撃 - 他所情報流出の影響で増加傾向も
ニトリにPWリスト攻撃、スマホアプリ経由で - 約13万アカウントがログイン許した可能性
サンドラッグの複数関連サイトにPWリスト攻撃
看護関係者向けサイトへのPWリスト攻撃、調査結果が明らかに - 試行回数は6882万件