任天堂、個人情報16万件が流出 不正ログインで購入も
https://www.asahi.com/articles/ASN4S72LMN4SPLFA01F.html
◆公式
「ニンテンドーネットワークID」に対する不正ログイン発生のご報告と
「ニンテンドーアカウント」を安全にご利用いただくためのお願い
日頃は弊社商品をご愛顧賜りまして、誠にありがとうございます。
この度、何らかの手段で弊社サービス以外から不正に入手したログインIDとパスワード情報を用いて、4月上旬ごろから「ニンテンドーネットワークID(※1、以下NNID)」に、なりすましログインを行ったと思われる現象が発生していることを確認いたしました。
また、このなりすましログインを利用し、NNID経由で一部の「ニンテンドーアカウント」に不正にログインされた事象があることも確認いたしました。
そのため、本日NNIDを経由してニンテンドーアカウントにログインする機能を廃止いたしましたのでお知らせいたします。
また、不正ログインされた可能性があるNNIDやニンテンドーアカウントに対し、順次パスワードリセットを行います。
<お客様ヘのお願い>
パスワードリセットが行われたNNIDやニンテンドーアカウントにはメールでお知らせいたしますので、次回、使用される際はパスワードの再設定(※2)をお願いいたします。その際、すでに他のサービス等でお使いのパスワードの使いまわしは避けていただきますようお願いいたします。
また、これまでNNIDを経由してニンテンドーアカウントにログインされていたお客様につきましては、次回のログイン以降、ニンテンドーアカウントのメールアドレス/ログインIDでログインいただきますようお願いいたします。
NNIDとニンテンドーアカウントで同一のパスワードを使用されますと、マイニンテンドーストアやニンテンドーeショップにて、残高および登録済みのクレジットカード・PayPalを不正に利用されてしまう恐れがございます。NNIDとニンテンドーアカウントには異なるパスワードを設定いただきますようお願いいたします。なお、今回の不正ログインに関連して、お客様のニンテンドーアカウントに身に覚えのない購入履歴がある等の被害が確認された場合には、個別に調査を行った上で、購入の取消し等の対応を行わせていただきます。順次手続きを進めますのでお待ちください。
加えて、かねてよりご案内させていただいておりますとおり、弊社サービスを安心、安全にご使用いただくため、ニンテンドーアカウントには二段階認証を設定していただきますようお願いいたします。なお、本件の影響に関する詳細は以下の通りです。
■不正ログインを受けた可能性のあるNNID
●約16万アカウント
■第三者に閲覧された可能性のある情報
●NNIDに登録されている以下の情報
ニックネーム、生年月日、国/地域、メールアドレスNNIDに不正ログインされた影響により、NNIDが連携されているニンテンドーアカウント(二段階認証を設定しているものを除く)の以下の情報についても、第三者に閲覧された可能性があります。
●ニンテンドーアカウントに登録している以下の情報
おなまえ、生年月日、性別、国/地域、メールアドレス※閲覧された可能性のある情報の中に、クレジットカード番号はございません。
お客様や関係者の皆様には、ご迷惑とご心配をおかけすることを、深くお詫び申し上げます。今後、同様の事象が発生しないよう、より一層のセキュリティー強化と安全性の確保に努めてまいります。
お客様におかれましても、ご自身のアカウントの不正利用を防ぐため、上記の<お客様へのお願い>をご留意の上、弊社アカウントをご利用いただきますようお願いいたします。
https://www.nintendo.co.jp/support/information/2020/0424.html
◆メールをチェックしましょう。
二段階認証はやっとくべき。
不幸中の幸いに、クレジットカード番号が無いのは救いですな。
ゴキちゃんがNNIDをいまいちわかってなくて、ミスリードできてなかったなぁ(棒)
まぁ全世界で16万なら、毎日アタック食らってるであろう大手ならかなりすくないんじゃないかな
とりあえず、連携してるしてない関係なく別のアカウントIDとパス同じにしてる人は被害にあってなくても、他のサービスでも、即座にかえましょうってところだなぁ
重要なことだけど、
不必要なら無駄にSNSともアカウント連携はしないほうがいいよ。
基本的に本当に悪意あるクラッカーに狙われたら、二段階認証やってようが、どのシステムでも、基本的に破られる。
っていう前提はわかっておいたほうがいい。
一番のセキュリティはやべー奴の目に留まらないこと。(これはハッキングとか以外でもそうだけど)
そのうえで、そういう奴らの目に留まらないようにするリスク回避が一番効果がある。
無駄に配信とかしてたりすると、のっとりされなくても、にわかハッカーきどりとかの
アタックはくらったりするしね。
それはuplayやsteamでも同じ。
一番厄介なのは組織的(お隣とか国がらみ)のものかな
それは企業単位じゃなくて国単位でまもってもらわんとだめだが
まぁグーグルとか任天堂は、アクセス先IPがいつもとちがったら、メールが来るからアタック失敗でも、何かあったらわかるとは思うけどね
何重に認証するよりも、シンプルにそれが一番意識含めて高まるとは思う。
>※閲覧された可能性のある情報の中に、クレジットカード番号はございません。
ここめっちゃ重要
なんならゲーム情報メディアが強調して言わなきゃいけない所
サイト管理とDB管理(不要な情報を見せないView管理というか)がちゃんとできてるってことだからねぇ
PSNのときはパスとかクレカだけじゃなくて、SQLインジェクションっていう
「いくら厳重に入り口においてても、それを抜ける致命的設計ミスがあった(中小企業でもそんなのはいまどきしないレベル)」ってのが大問題だったのだが、日本のメディアはそれを意図的なのか無知な記者しかいないのか、あまり触れてなかったな。
簡単に言うと、サイトからデータにアクセスるには内部でSQL文(パスワードや色々な項目で条件を満たせたらアクセスできる)を構築してるわけだけど、SQLインジェクションのは、そのSQLを直打ちででたらめな条件(最悪「パスの流出すら必要ない」から、根本的に次元の違うダメなおもらし)でも真なものとしてデータと取りに行けちゃう穴みたいなもので、今回の事例とも全くひどさを比べようがなかった(もちろんPSNの方が悪いという意味で)
パス自体は破ろうと思えば悪意ある人間且つ知識を無駄に持ってる人間からしたらどうとでもなるけど、そこがちゃんとしてるかどうかで被害幅が断然違ってくる。
NNIDってWiiUや3DSの頃に扱っていた今のニンテンドーアカウントの前身とも言えるヤツだよね。
その時代の「任天堂以外」のところから流出したIDとパスワードでアタック…?
その頃の任天堂以外でNNIDとユーザーが被る可能性が高いと思われる大量のデータがどこから…あっ(察し)
いやー、まさか一億件お漏らしのとばっちりを今更受けただなんて…(有り得ないとは言ってない
任天堂は「アクセスした機器とIPのチェックとユーザーへのその告知」をちゃんとしてるけど、
たまにそれやってないところは、何かあったらアクセス失敗した事例ですら、気が付かずに
リスク高いまま放置してたりするからね。
割とグーグルのあの使いにくいアプリの二段階認証やってるのに、それやってないサービスが結構あったりするんだなこれが
ぶっちゃけ普通に中国を疑ってる
NNID経由限定ってのはなんだかんだでSwitchいきとどいてなくて、
Wii,WiiU世代の制限版の展開を一応してた中国らしさが強い気がする
アタック自体も割と稚拙なのも中国の特徴(まぁ嫌がらせと警告目的でもあるのだろうけど)
WiiU、3DS世代のNNID経由って考えると16万ってかなりすくないのは、
シンプルにユーザ側のパスワード管理杜撰さとそういうのをSNS連携やらから
ゲットして安いリスト化したものを使っただけに思える
大量の個人情報を抜きたいとか、steamとかと違ってプレゼント機能もないから、金銭よりも、悪意あるとにかく話題にしたかったという動きではあるだろうな
これに対する報道の仕方と怪しいメディアの動きでそっち側のぼろが出そうな気もするから要チェックか
この朝日の書き方、まるで任天堂の不手際で情報を漏らしたような書きっぷり
パスワードの使いまわしが原因なのに
そう、痛い目にあわないと、パスワードの使いまわしって、終わらないんだよ
ソース:XboxLiveで被害にあった俺
悪意+そもそも本気で朝日新聞自体が知識皆無のゴミってのもありそう
ちなみに、2015/01/16とかに
「社内PC17台がウイルス感染 朝日新聞社
朝日新聞社は1月16日社内のパソコン17台がコンピューターウイルスに感染しEメールのやりとりや作成した文書などの一部が流出したと発表。
昨年11月下旬頃から不審な通信と情報の流出が始まったと見られる。」
とか、企業側の典型的な落ち度のバカがPCつかう事例をやらかしてるw
朝日のバカ記事のデジャブ感って、
中国のコロナ告発した医師が処罰されてそのままコロナで死亡した事例を無視しながら、
世界的にもっとひどい状況の医療関係者のコロナ被害を、
日本の場合だけもっと軽微なのに医療関係者の質が低いかのように批判してるマスゴミの妄言と同じではあるな
あらゆることでそういう体質なんだろう