「KLab ID」で不正ログイン - 新規登録機能で攻撃対象を絞り込み

モバイル向けゲームを提供するKLabは、同社会員サービス「KLab ID」が不正アクセスを受けたことを明らかにした。

同社によれば、7月22日12時半過ぎごろから第三者が利用者本人になりすましてログインを試みる「パスワードリスト攻撃」を受けたもの。7月27日17時半ごろ不正ログインの発生を検知した。7月28日の時点で2439件のアカウントが不正ログインを許したという。

アカウントが不正にログインされた場合、生年月日、性別、言語のほか、秘密の質問および回答、連携するアプリ名、連携アプリ内の表示情報などを閲覧されたおそれがある。

同社では、今回の不正ログインの直前となる7月21日22時ごろから22日12時42分にかけて、会員の新規登録機能が大量のアクセスを受けていた。

本来同機能は、あらたな会員登録希望者に対し、最初にメールアドレスの入力を求め、送信したメールによってメールアドレスの所有者であるか確認するものだが、メールアドレスが登録済みであるかも判別できることから、同機能に対して機械的に大量のメールアドレスを入力することで、攻撃対象者のリストを絞り込んでいたものと見られる。

（Security NEXT - 2021/08/02 ） ツイート

PR

関連記事

「PWリスト攻撃」による不正ログインを確認 - Hulu
三越伊勢丹の宅配サービスにPWリスト攻撃 - 不正注文などに注意喚起
食品宅配「Oisix」にPWリスト攻撃 - 約9.7万件で不正ログイン
通販サイトにPWリスト攻撃、個人情報閲覧の可能性 - ヨネックス
動画配信サービス「Hulu」にPWリスト攻撃 - 強制リセット実施
ゴルフダイジェストにPWリスト攻撃 - 閲覧や改ざんの痕跡なし
PWリスト攻撃で一部「LINE公式アカウント」が乗っ取り被害
WordPressプラグインの同時多発改ざん、PWリスト攻撃に起因
「mixi」にPWリスト攻撃 - 2月から3月にかけて発生
職員メルアカに不正アクセス、スパム約3万件が送信される - 北海道大病院