最初に知ったのは、昨日の昼。はてなブックマークのホッテントリ情報だった。
そこから辿って、「はてなの日記」を読むと、次のようなことが書かれていた。
弊社自身の調査により、はてなのサービスに対して外部から不正なログインが行われた可能性があることが判明しました。
ただし、弊社サーバーへの侵入によるアカウント情報の流出や、パスワードを機械的に推測してログインを試行するといった不審な行動は確認されておらず、他社サービスから流出または不正取得されたアカウント情報(IDとパスワードの組み合わせ)を流用された可能性が高いと考えています。
ここまで読んだ時点では、念のため的な警告で、それほど大事ではないのかと思ったけれど…。
現在、上記の不正ログインにより、一部のユーザー様に以下の被害が確認されています。
- はてなにご登録いただいている個人情報のうち、氏名、郵便番号、生年月日、メールアドレスが閲覧、変更された可能性があります
- 保持しているはてなポイントが、第三者によってAmazonギフト券に交換された可能性があります
- クレジットカード情報を登録されている場合、クレジットカード番号の下4桁を閲覧された可能性があります
おいおい、そりゃ大変じゃないか。
そもそも、こんなことが起こっているのではあれば、まずはメールで連絡してくるのが筋じゃないかと思った。このエントリーを見逃していたらどうなるんだ。
はてブのコメント欄でも同じようなことが多数書かれていたので、僕だけが例外ではないのは明白だった。
…と思っていたら、昨晩19:51になって、やっと届いていたようだ*1。
上述「はてなの日記」が書かれていた時間は、タイムスタンプによれば12:15のようなので、7時間以上遅れている。はてな登録者全員にメールを送り終わるまでに時間がかかるだろうということを考慮しても、遅すぎだと思う。
僕は、はてな登録10年目で、相当古参のユーザーの筈だ。それでこんなに遅いのでは、まだ届かない人もいるのではないかと思ってしまう。
記事の中で、ふと目についたのは、「Amazonギフト券に交換された可能性があります」との文言。そう言えば、JALマイレージバンクサイトに不正アクセスがあった際も、Amazonギフト券への交換が問題となっていた。
どうやら、この交換制度目当てで、あちこちに不正ログイン、不正アクセスが行われているような気がする。Amazonギフト券への交換サービスがあるWebサイトは、今後、注意が必要だと思う。
不正アクセスされたアカウントでは、上記のように登録情報が変更されたり、はてなポイントが不正に使用されたりした可能性があります。
「ユーザー設定」ページで、メールアドレスや個人情報が正しく登録されているかをご確認ください。
また、「はてな ポイント支払・受取履歴」ページで、心当たりのないポイント利用、特にAmazonギフト券への交換が申請されていないかをご確認ください。
記事に従って、僕の登録情報を確認してみたところ、ごく一部不審なところはあった*2ものの、概ね問題はないように思えた。
とはいえ、ちょっと気持ちが悪いので、とりあえず、パスワードは変更しておくことにした。
基本的にIDとパスワードの使い回しはしていないつもりだけれど、はてな登録のものは、他と重なる部分もあったからだ。
最近、こういったニュースがやたらと多くなってきた気がする。
Webサービスはとても便利だけれど、その便利さを手軽に利用しようと、安易なパスワードの利用やワンクリック認証などを続けていると、罠に嵌まる。Webの便利さと、パスワード管理の煩雑さは両刃の剣なのだ。
物騒な時代になってきたなぁ…。
Tweet