看護関係者向けサイトへのPWリスト攻撃、調査結果が明らかに - 試行回数は6882万件

看護師や看護学生向けのコミュニティサイト「看護roo！」が不正アクセスを受け、ポイントの不正交換などが発生した問題で、同サイトを運営するクイックは、調査結果を明らかにした。

同社では同サイトにおいて、第三者が正規の利用者になりすましてログインし、ポイントが不正に交換されたことを5月に公表。外部事業者をまじえて、被害状況など精査を進めていた。

同社は、原因についてあらためて「パスワードリスト攻撃」によるものだったと説明。ログインの試行回数については、当初発表の1億3833万8195件から6882万1639件へと修正。6万518件で不正ログインが行われたとしていたが、不正ログインの回数を5万9742回、重複を除いた被害アカウント数を2万7196件とした。

閲覧された可能性がある情報に関して、2万5245件ではニックネームのみ、751件はニックネームおよび都道県としている。

一方1196件についてはこれらにくわえて氏名や市町村以降の住所を閲覧されたほか、3件では保有資格や卒業年、生年月日、性別、1件ではさらに電話番号や奨学金情報なども含まれていた。

ポイント交換による被害については、当初1877アカウント、65万1904ポイントとしていたが、1アカウントをくわえた1878アカウント、65万2004ポイントと修正。すでに被害が生じたポイントの補填を終えているという。

同社では、これまでもウェブアプリケーションファイアウォール（WAF）を利用していたが、今回の問題を受けて、パスワードポリシーの強化や「reCAPTCHA」の導入、監視の強化などを実施。

さらに同一IPアドレスから高い頻度でアクセスが行われた場合に遮断する対策を導入するなど対策を強化した。今後は二段階認証を導入する予定としている。

（Security NEXT - 2022/07/07 ） ツイート

PR

関連記事

「PWリスト攻撃」による不正ログインを確認 - Hulu
付属美術館の端末から個人情報が流出した可能性 - 尾道市立大
メールサーバからアカウント情報などが窃取 - 京大経営管理大学院
三越伊勢丹の宅配サービスにPWリスト攻撃 - 不正注文などに注意喚起
食品宅配「Oisix」にPWリスト攻撃 - 約9.7万件で不正ログイン
通販サイトにPWリスト攻撃、個人情報閲覧の可能性 - ヨネックス
動画配信サービス「Hulu」にPWリスト攻撃 - 強制リセット実施
ゴルフダイジェストにPWリスト攻撃 - 閲覧や改ざんの痕跡なし
PWリスト攻撃で一部「LINE公式アカウント」が乗っ取り被害
WordPressプラグインの同時多発改ざん、PWリスト攻撃に起因