Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「KLab ID」で不正ログイン - 新規登録機能で攻撃対象を絞り込み

モバイル向けゲームを提供するKLabは、同社会員サービス「KLab ID」が不正アクセスを受けたことを明らかにした。

同社によれば、7月22日12時半過ぎごろから第三者が利用者本人になりすましてログインを試みる「パスワードリスト攻撃」を受けたもの。7月27日17時半ごろ不正ログインの発生を検知した。7月28日の時点で2439件のアカウントが不正ログインを許したという。

アカウントが不正にログインされた場合、生年月日、性別、言語のほか、秘密の質問および回答、連携するアプリ名、連携アプリ内の表示情報などを閲覧されたおそれがある。

同社では、今回の不正ログインの直前となる7月21日22時ごろから22日12時42分にかけて、会員の新規登録機能が大量のアクセスを受けていた。

本来同機能は、あらたな会員登録希望者に対し、最初にメールアドレスの入力を求め、送信したメールによってメールアドレスの所有者であるか確認するものだが、メールアドレスが登録済みであるかも判別できることから、同機能に対して機械的に大量のメールアドレスを入力することで、攻撃対象者のリストを絞り込んでいたものと見られる。

(Security NEXT - 2021/08/02 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

職員メルアカに不正アクセス、スパム約3万件が送信される - 北海道大病院
統合DBシステムで不正ログイン被害、改ざんも - 上智大
「ETC利用照会サービス」にPW攻撃、約125万件のアクセス
「エン転職」にパスワードリスト攻撃 - 約25万人がアクセス許す
英語検定試験「TOEIC」の申込サイトに大量のログイン試行
「ショップチャンネル」で不正ログイン注文 - 「後払い」を悪用
止まぬPWリスト攻撃 - 他所情報流出の影響で増加傾向も
ニトリにPWリスト攻撃、スマホアプリ経由で - 約13万アカウントがログイン許した可能性
サンドラッグの複数関連サイトにPWリスト攻撃
看護関係者向けサイトへのPWリスト攻撃、調査結果が明らかに - 試行回数は6882万件