看護関係者向けサイトへのPWリスト攻撃、調査結果が明らかに - 試行回数は6882万件

看護師や看護学生向けのコミュニティサイト「看護roo！」が不正アクセスを受け、ポイントの不正交換などが発生した問題で、同サイトを運営するクイックは、調査結果を明らかにした。

同社では同サイトにおいて、第三者が正規の利用者になりすましてログインし、ポイントが不正に交換されたことを5月に公表。外部事業者をまじえて、被害状況など精査を進めていた。

同社は、原因についてあらためて「パスワードリスト攻撃」によるものだったと説明。ログインの試行回数については、当初発表の1億3833万8195件から6882万1639件へと修正。6万518件で不正ログインが行われたとしていたが、不正ログインの回数を5万9742回、重複を除いた被害アカウント数を2万7196件とした。

閲覧された可能性がある情報に関して、2万5245件ではニックネームのみ、751件はニックネームおよび都道県としている。

一方1196件についてはこれらにくわえて氏名や市町村以降の住所を閲覧されたほか、3件では保有資格や卒業年、生年月日、性別、1件ではさらに電話番号や奨学金情報なども含まれていた。

ポイント交換による被害については、当初1877アカウント、65万1904ポイントとしていたが、1アカウントをくわえた1878アカウント、65万2004ポイントと修正。すでに被害が生じたポイントの補填を終えているという。

同社では、これまでもウェブアプリケーションファイアウォール（WAF）を利用していたが、今回の問題を受けて、パスワードポリシーの強化や「reCAPTCHA」の導入、監視の強化などを実施。

さらに同一IPアドレスから高い頻度でアクセスが行われた場合に遮断する対策を導入するなど対策を強化した。今後は二段階認証を導入する予定としている。

（Security NEXT - 2022/07/07 ） ツイート

PR

関連記事

体臭関連製品扱う通販サイトに不正アクセス - 個人情報流出の可能性
Barracuda ESGの侵害、中国関与か - スパム装いゼロデイ攻撃を隠蔽
初期パスワードのメルアカ2件がスパム踏み台に - 新潟大
顧客情報流出の可能性、キャンペーンを中止 - 日本製紙クレシア
重要インフラ狙う中国関与の「Volt Typhoon」攻撃 - 中小企業も攻撃の踏み台に
グループで利用するクラウドサービスに不正アクセス - エーザイ
自組織サイト内に詐欺ページが設置されていないか確認を - 警察庁が注意喚起
「エン転職」にパスワードリスト攻撃 - 約25万人がアクセス許す
委託先にサイバー攻撃、顧客などへ脅迫メール届く - 北関東マツダ
英語検定試験「TOEIC」の申込サイトに大量のログイン試行