【ユニクロ】リスト型攻撃により46万件不正ログイン
 Author: ion

uni

公式より
https://www.uniqlo.com/jp/corp/pressrelease/2019/05/19051409_uniqlo.html

今回の不正ログインは、2019年4月23日から5月10日にかけて、「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、現時点判明分で不正ログインされたアカウント数は、461,091件となります。お客様や関係者の皆様には、ご迷惑とご心配をおかけすることを、深くお詫び申し上げます。今後、同様の事象が発生しないよう、より一層のセキュリティ強化と安全性の確保に努めてまいります。

リスト型攻撃

リスト型攻撃とは、攻撃者があらかじめ何らかの手段で入手したID,パスワードなどの認証情報のリストを使って不正にログインすること。

どうやってあらかじめ認証情報を手に入れるのか?
方法としては例えば、

  1. 適当なサイトを作ってユーザーがemailとパスワードを入力するよう仕向ける
  2. 適当なサービスを攻撃し、利用者のemail, パスワードを入手する

今時サービス側がパスワードを暗号化せずに持つことはほぼないので、不特定多数を狙うなら1が妥当か。
いずれにせよ、いろんなサイトでパスワードを使いまわす人が多いのが問題である。ユニクロに脆弱性があったとかではない。

最近はブラウザや端末にパスワードを保存しておいてくれる機能が充実しているので、サイトごとに異なるパスワードを使ったとしてもいちいち覚えておく必要はない。
Appleなんかは強力なパスワードのサジェスト、キーチェーンへの自動登録まで行ってくれる。

そういった便利機能を使いつつ、サービスごとにパスワードは変えましょうという話。