事例Use case

【Bitdefender海外ブログ】不正取得されたDisney+アカウント、既に闇市場で売買

2020.1.16

ツイート シェア 送る はてブ

thought-catalog-2k58cwVzMQI-unsplash-990x660.jpg

強度が弱いパスワードのアカウントが標的に

ストリーミングサービスDisney+のサービス開始後間もなく、不正に取得されたアカウント情報がさまざまなオンラインフォーラムに掲載され始めました。中には無料で提供されているものもあり、数千人の正規ユーザーが被害に遭っています。

好調なスタートを切ったDisney+ですが、問題の発生は免れられませんでした。ZDNetの報道によると、同サービスの開始後程なくして数千のアカウントが漏えいしたものの、その手口はハッキングと言えるほどのものではなかったようです。

Disney+自体が攻撃されたわけではないものの、多くの同様ケースに見られるように、弱いパスワードを設定した人々が狙われました。「ハッカー」たちは、既にオンライン上で入手できる状態となっている何十億件もの漏えい済み認証情報を取得し、Disney+へのログインを試みています。他の色々なサービスで使い回しすでにハッキングされているログイン認証情報を、Disney+でも使用していた人が多くいたようです。

ストリーミングサービスの漏えいアカウント情報市場は盛況で、Disney+のアカウント情報が既に売買されていることも驚くことではありません。一部の販売価格は、Disney+の月額料金を上回ると報じられています。しかし、同サービスが一部の地域でしか利用できないことを踏まえると、それも想定内と言えます。盗まれたアカウントは11月12日のサービス開始後、短時間のうちに売りに出され広告まで出されました。

多要素認証が導入されていなかったこともひとつの要因

パスワードの使い回しや過去に漏えいしたパスワードの使用に加え、Disney+の手ぬるいセキュリティ対策も問題となっています。アカウントが乗っ取られパスワードが変更されたという報告がユーザーから寄せられていますが、これは多要素認証によって大幅に防げるものです。現時点では、Disney+に多要素認証は導入されていません。

Disney+のアカウントを乗っ取られたくない場合は、大文字や記号、数字を含めたDisney+専用の強力なパスワードを使うようにしましょう。すべてのオンラインサービスでそれぞれ固有の強力なパスワードを作成すれば、ユーザーを悩ませる問題の多くを回避できます。これはむしろ、当たり前の習慣とすべきことなのです。

翻訳元記事 Compromised Disney+ Accounts Already Selling on Dark Markets


アカウントの不正利用を未然に防ぐ。セキュリティWi-Fiの機能

SECURIE (セキュリエ)powered by Bitdefenderはご家庭や小規模オフィスのWi-Fiネットワーク全体を保護する、セキュリティWi-Fiルーターです。パソコン、スマートフォン、タブレットだけでなく、インターネットに接続するNAS、テレビ、スマートスピーカー、ゲーム機、デジタルビデオレコーダーなどを含む、全てのネット接続機器をサイバー攻撃の危険から保護します。

1.機密データ保護
クレジットカード情報やパスワードが暗号化されていない通信で送信されるのをブロックします。アカウントが不正利用され、金銭被害につながる情報漏えいを、未然に防ぐことができます。

fig03_200116.png

2.不正侵入防止(IPS)
攻撃者は家庭内のIoT機器に対してポートスキャンなどの偵察を行い、対象となるIPアドレスでどんなポートが空いているか、通信可能かを探ります。侵入できるデバイスを探し当てると、デバイスを不正に操作される、ID/パスワードなどのアカウント情報を収集される、などの被害が発生する可能性があります。

SECURIEを有効にすると、搭載されている「Bitdefender」がポートスキャンが行われていることを検知し、発信元のIPアドレスをブラックリストに自動的に追加します。もう一度攻撃者がポートスキャンを実行しようとしても、アクセスが拒否され、何も情報が見えない状態になります。

詳しくはこちら 【疑似サイバー攻撃実験】百聞は一見に如かず、攻撃者視点でIPカメラを攻撃した結果は......?~SECURIEはどのようにしてサイバー攻撃に対処するのか~


3. アカウントプライバシー
SECURIEに付属するセキュリティソフト「Bitdefender Total Security」には、自分のEメールアドレスが漏えいしてしまっているかどうかをチェックできる、アカウントプライバシー機能があります。万が一漏えいが見つかった場合は、パスワードの変更を行うことで不正利用を防ぐことができます。

アカウントプライバシー.PNG