Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「KLab ID」で不正ログイン - 新規登録機能で攻撃対象を絞り込み

モバイル向けゲームを提供するKLabは、同社会員サービス「KLab ID」が不正アクセスを受けたことを明らかにした。

同社によれば、7月22日12時半過ぎごろから第三者が利用者本人になりすましてログインを試みる「パスワードリスト攻撃」を受けたもの。7月27日17時半ごろ不正ログインの発生を検知した。7月28日の時点で2439件のアカウントが不正ログインを許したという。

アカウントが不正にログインされた場合、生年月日、性別、言語のほか、秘密の質問および回答、連携するアプリ名、連携アプリ内の表示情報などを閲覧されたおそれがある。

同社では、今回の不正ログインの直前となる7月21日22時ごろから22日12時42分にかけて、会員の新規登録機能が大量のアクセスを受けていた。

本来同機能は、あらたな会員登録希望者に対し、最初にメールアドレスの入力を求め、送信したメールによってメールアドレスの所有者であるか確認するものだが、メールアドレスが登録済みであるかも判別できることから、同機能に対して機械的に大量のメールアドレスを入力することで、攻撃対象者のリストを絞り込んでいたものと見られる。

(Security NEXT - 2021/08/02 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

通販サイトに対する21回のPWリスト攻撃を検知 - セシール
ディノス通販サイトに1605回のログイン試行 - 41件で不正ログイン
「CloudGuard」にウェブアプリやAPI保護機能を追加 - チェック・ポイント
「マイナビ転職」にPWリスト攻撃 - 履歴書21万人分に不正ログイン
LINEにPWリスト攻撃 - 2段階認証未適用の問合フォームが標的に
PWリスト攻撃が約10万回、約1500件が実在し半数超でログイン許す - ヌーラボ
セシール通販サイトに33件のPWリスト攻撃 - アカウント1件がログイン許す
動画サービス「Hulu」に断続的なPWリスト攻撃
JR九州の会員サイトにPWリスト攻撃 - ポイント交換被害も
岡三オンライン証券にPWリスト攻撃 - 資産売却や出金被害は未確認