Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

看護関係者向けサイトへのPWリスト攻撃、調査結果が明らかに - 試行回数は6882万件

看護師や看護学生向けのコミュニティサイト「看護roo!」が不正アクセスを受け、ポイントの不正交換などが発生した問題で、同サイトを運営するクイックは、調査結果を明らかにした。

同社では同サイトにおいて、第三者が正規の利用者になりすましてログインし、ポイントが不正に交換されたことを5月に公表。外部事業者をまじえて、被害状況など精査を進めていた。

同社は、原因についてあらためて「パスワードリスト攻撃」によるものだったと説明。ログインの試行回数については、当初発表の1億3833万8195件から6882万1639件へと修正。6万518件で不正ログインが行われたとしていたが、不正ログインの回数を5万9742回、重複を除いた被害アカウント数を2万7196件とした。

閲覧された可能性がある情報に関して、2万5245件ではニックネームのみ、751件はニックネームおよび都道県としている。

一方1196件についてはこれらにくわえて氏名や市町村以降の住所を閲覧されたほか、3件では保有資格や卒業年、生年月日、性別、1件ではさらに電話番号や奨学金情報なども含まれていた。

ポイント交換による被害については、当初1877アカウント、65万1904ポイントとしていたが、1アカウントをくわえた1878アカウント、65万2004ポイントと修正。すでに被害が生じたポイントの補填を終えているという。

同社では、これまでもウェブアプリケーションファイアウォール(WAF)を利用していたが、今回の問題を受けて、パスワードポリシーの強化や「reCAPTCHA」の導入、監視の強化などを実施。

さらに同一IPアドレスから高い頻度でアクセスが行われた場合に遮断する対策を導入するなど対策を強化した。今後は二段階認証を導入する予定としている。

(Security NEXT - 2022/07/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

サンドラッグの複数関連サイトにPWリスト攻撃
読売新聞オンライン、アカウント2070件に不正ログインの疑い - 試行や失敗の増加も
ビューカードのオンライン会員サービスで不正ログイン被害
ランサム攻撃、脆弱性含むネットワーク機器から侵入か - 月桂冠
看護関係者向け会員サイトにPWリスト攻撃 - P不正交換も
ブラザー会員サイトで不正ログイン、P交換被害も - 3月末からアクセス急増
複数自治体が導入進めるクラウドがスパム踏み台に - メンテ時の設定ミスで
ふるさと納税支援サイトにPWリスト攻撃 - 2000以上のIPアドレスから
「KLab ID」で約3000件の不正ログイン - 2段階認証を必須化
LINEのQRコードログインに2要素認証バイパスの脆弱性 - 悪用被害も