2015年9月10日 10:00
STOP!パスワード使い回し! - 楽天の対策と個人への啓蒙活動とは?
われわれはその容疑者が楽天サービスにおいて不正を行ったログの一切の洗い出しなどの捜査協力を求められたため、規定の手続きにのっとり、対応する旨を伝えた。
事件のあらましはこういうことだ。
不正アクセス行為者は某サイトにSQLインジェクション(※)を仕掛け、それにより大量のIDやパスワードを奪い、楽天サービスや他のサイトにそれらを使って不正にログインを試み、某サイトと楽天サービスにおいて同じパスワードを使っていたケースにおいてログインに成功した。
そのお客様が自ら最寄りの警察署に相談に行かれたことがきっかけとなり、捜査が進んでいた。
その後、この事案では私たちが提供した「不正を試みたまたは不正アクセスに成功したと疑われる一切のログ」と他事業者のログをもって容疑者の立件、逮捕と至ったのだが、ひとたび第3者による不正ログインを許してしまうと「好き勝手にされてしまう」という事を象徴している事案であった。
(※) SQLインジェクション: データベースと連携されたWebサイトに対して不正なプログラムを埋め込むことによりデータベースを改ざんしたり不正に情報を入手する行為。○私達に出来ること
楽天サービスを利用されているお客様が最大限、この様な被害にあわれないために、われわれはできることを精一杯実行するとともに状況の変化を見定めながら日々それらを見直し、改善を続けていかねばならないと考えている。