任天堂は近年、立て続けにサイバー攻撃に見舞われています。2017年にはセキュリティ研究者のザミス・クラーク氏によってハッキングされ、ゲームのソースファイル、プロトタイプ、ゲームエミュレータ、未発売製品、さらには80年代のデータまで、2テラバイト以上のデータを盗まれてしまいました。
2020年4月、任天堂は再びサイバーセキュリティ問題の渦中に巻き込まれました。今度は、ニンテンドー Switch アカウントの NNID(ニンテンドーネットワーク ID)30万件の漏洩に関わる問題で、当初、任天堂は16万件程度だと主張していましたが、さらなる調査の結果、さらに14万件もの漏洩アカウントが発見されました。
ただ、30万人以上の任天堂ユーザーの情報がハッキングされたものの、不正な取引に利用されたのは1%未満でした。任天堂は、攻撃者がどのようにユーザーログインを取得したかについては曖昧にしていますが、「当社のサービス以外から何らかの手段でデータが不正に取得された 」という声明を出しています。
チームのセキュリティを強化するパスワード管理ソリューション TeamPassword を、無料トライアルでぜひお試しください。
事件の大まかな流れ
2020年4月9日:任天堂は突然「2段階認証を有効にすることで、ニンテンドーアカウントの安全性が上がります。」とその方法のリンク付きでツイートし、フォロワーの混乱を招いた。
2020年4月19日:任天堂のファンサイトである「LootPots」の創設編集者が「任天堂で大規模なセキュリティ侵害が起こっているのでは?一晩で何度もアカウントへのアクセスがあった。パスワードはユニークな文字列なので、私のPC自体は何の異常もなく済んだ(そもそもこのPCでログインすることもないですが)。Reddit/Twitterにも同様の報告が多数寄せられている。PayPal のリンク解除と2FAの有効化をお願いします!」とツイート
2020年4月24日:任天堂が、16万件のアカウントが漏洩したことを認める公式声明を発表。
2020年4月27日:任天堂は、さらに14万件のアカウントが漏洩していたことが発覚し、被害は合計30万件になったことを認めた。
流出したアカウント情報
任天堂によると、NNIDのデータ侵害の内容は以下の通りです。
- アカウント所有者のフルネーム
- メールアドレス
- 生年月日
- 居住国
幸いなことに、請求情報は隠されており、その情報を抜き取ることはできませんが、購入に使用することは依然として可能な状態です。そして支払い方法を連携させている一部のユーザーからは、Myニンテンドーストアやニンテンドーeショップで不正な取引が行われたとの報告がありました。
このような取引をきっかけに、当初はアカウント侵害が疑われ、2020年3月の段階で一部のユーザーからは不審な行動や購入の報告がありました。
ハッカーが任天堂のユーザーアカウントにアクセスした方法
任天堂は「セキュリティ上の理由」から、ハッカーが NNID アカウントにアクセスした方法を明らかにしていませんが、サーバーへの侵入がなかったことが確認されていることから、以下の3つの方法が考えられます。
クレデンシャルスタッフィング攻撃
ハッカーは、あるアプリケーションから盗んだ「ユーザー名またはメールアドレス」と「パスワード」を使って、大規模なアプリケーションの自動ログインを実行しますが、このような認証情報は、セキュリティの弱いゲームやアプリケーションのサーバーからよく盗まれます。
ハッカーにとっては、「多くの人が複数のアカウントで同じユーザー名とパスワードを使い回している」という事実が頼りであり、可能性としては、任天堂ユーザーがよく利用するチャットルームやアプリケーションに、ハッカーがアクセスしてログイン情報を盗み出すというやり方が考えられます。
そしてサイバー犯罪者は、各ユーザーのユーザー名とパスワードをテストし、任天堂アカウントに同じ認証情報を使っているユーザーがいないかを確認します。
ちなみに任天堂は、クレデンシャルスタッフィング攻撃のリスクを最小限に抑えるため、NNID とニンテンドーアカウントに同じパスワードを使わないようユーザーに推奨していたことが分かっています。
フィッシング
もう一つの可能性は、任天堂ユーザーがフィッシング攻撃の被害に遭った可能性で、これはサイバー攻撃の被害としては非常によくあることです。フィッシング攻撃では、サイバー犯罪者は「なりすまし」のSMSやメールなどのメッセージを使ってユーザーを騙し、リンクをクリックさせたり機密データを開示させたりします。
ハッカーはメールの内容を模倣したり、アプリケーションやウェブサイトのログイン画面を模倣することもあるため、一目見ただけでフィッシング攻撃と見抜くのは極めて難しいです。
ブルートフォース攻撃
ブルートフォース攻撃は、基本的に、ハッカーがアクセスできるようになるまでパスワードを体系的に試す「推測ゲーム」であり、ハッカーは、よくあるフレーズや組み合わせから始めて、ユーザーの名前や個人情報に関連するフレーズを使うことがよくあります。
しかし、大抵のウェブサイトやアプリケーションでは、現在は正しいパスワードの入力回数を制限したり、2FA(二要素認証)を義務付けたりすることで、ブルートフォース攻撃を防いでいます。
任天堂のデータ漏洩事件の影響
任天堂のユーザーは当然ながら怒りを抱き、Twitter や Reddit で不満を爆発させました。任天堂にとって3年間で2度目の重大な情報漏洩であったことと、お粗末な対応が怒りと不満を加速させたように思われます。
このような事態が発生したことについて、どのような原因があったかなどデータ漏洩事件に関する任天堂からの説明が、ユーザーには何もありませんでした。
任天堂は不正購入の取り消しと返金を申し出たましたが、複数の Reddit の投稿によると、一部の要求は拒否されるなど、簡単にはいかなかったようです。
任天堂は現在、この種の情報侵害の再発を防ぐため、ユーザーに2FA の利用を義務付けています。
不正ログインから身を守る
企業には顧客のデータを守る責任がありますが、私たちも自分の身は自分で責任を持って守らなければなりません。つまり、パスワード管理の強化が必要だということです。
企業は顧客への返金を避けるべくあらゆる手段を講じるので、あなたの過失が証明されれば、損失の一部または全部を取り戻せない可能性が高くなります。
より強固で安全なパスワード
最初のステップは、全アカウントに安全なパスワードを作成することです。安全なパスワードというのは、推測できないようにすべく、ユニークで複雑なもので、理想的には12文字以上であるべきです。
より強力なパスワードを作る方法の一つとして、安全なパスワード生成ツールの使用があります。パスワードジェネレーターは、コピー・貼り付け用に、ランダムな文字の複雑な並びによる組み合わせを自動生成してくれます。
TeamPasswordには、32文字の安全なパスワードを作成できるパスワードジェネレーターが内蔵されており、それによって大文字、小文字、数字、記号を選択でき、毎回強固なパスワードを作成することができます。
アカウントごとに違うパスワードを作成する
人々が犯す大きな間違いの一つが、複数のアカウントで同じパスワードを使い回すことです。たとえ32文字の超安全なパスワードであっても、2回以上使うべきではありません。
ハッカーが侵入時にそのパスワードを盗んだり、サイバー攻撃の被害に遭ったりすると、犯罪者はあなたの全アカウントにアクセスできてしまいます。
そのため、アカウント、ウェブサイト、アプリケーションごとに別々のパスワードを作成し、潜在的なリスクを最小限に抑えることが重要です。
2FA(2要素認証)
安全なパスワードが設定され、ログインごとに別々の認証情報を使うようになると、今度はセキュリティにもっと強固なものを足したいと思いませんか? 2FA(2要素認証)は、たとえ誰かがあなたのログイン情報を知っていても、誰もあなたのアカウントにアクセスできないようにしてくれます。
2FAとは、その仕組み
2FAは、アカウントにログインするための2段階のプロセスです。第一のステップはパスワードですが、第二のステップは、以下の要素を本人がしなければなりません。
- 所有要素:2FAデバイス、SMS、メール、または本人所有のデバイス上のアプリケーションなど、個人に関連付いた認証方法。
例)銀行口座:ログインする際、パスワードの後に入力するコードが記載されたテキストメッセージを受け取ることがある。 - 知識要素:印象に残る言葉やフレーズでの認証方法。
例)母親の旧姓や高校時代の親友の名前など。 - 生体認証:指紋や網膜の形状、顔や音声の認識による認証方法。
大抵のアプリケーションでは、2FAを促進するために Google Authenticator が使われていますが、企業によってはSMSやメールを送信したり、独自のアプリケーションやデバイスが用意されている場合があります。ちなみに、Google Authenticatorは、無料で iOS と Android で利用できることからよく使われています。
TeamPassword には2FAに Google Authenticator が使われており、ロックアウト防止にバックアップコードの生成も可能です。
TeamPassword - 包括的なパスワード管理ソリューション
TeamPassword を使えば、パスワードの作成と保存の手間が省かれ、2FAとバックアップコードがあれば、アカウントは TeamPasswordでより安全になります。
さらに、TeamPasswordには、最新の暗号化技術による最高レベルのセキュリティが採用されています。
どこからでもアクセス可能
TeamPassword があれば、どこでも、どんなデバイスからでもパスワードのアクセスや管理ができ、Chrome、Firefox、Safari の拡張機能もあるので、どんなアカウントにもサッと安全にログインできます。
グループと共有
ログインとパスワードの共有が必要な場合、大きな脆弱性が生じますが、TeamPassword は、他のユーザーと安全に認証情報を割り当てることができる連携を想定して作られています。また、ワンクリックでユーザーを削除することができ、それによって最大のセキュリティと効率性がもたらされます。
パスワードジェネレータ内蔵
内蔵のパスワードジェネレータにより、12~32文字の強固なパスワードをサッと生成できます。TeamPassword では新しいパスワードは自動的に保存されるので、アプリケーションの外でパスワードの暗記や保存は必要はありません。
アクティビティと記録
自社や顧客のアカウントにアクセスできるチームを管理する場合、ログインやパスワードの閲覧、アクセスの共有を誰がしているのかの把握は極めて重要です。
TeamPasswordのアクティビティログを使えば、全データを追跡でき、不正なアクセスを最小限に抑えることができます。また、メール通知を設定して、アクティビティの更新を即座に受け取ることができるので、機密性の高いアプリケーションやデータの監視にピッタリです。
データ漏洩の新たな被害者にならないよう、今すぐ無料トライアルでTeamPassword をご体験いただき、パスワード管理を始めましょう!
