スタバ公式ページお知らせ
https://www.starbucks.co.jp/notice/20203208.php
26日に発表された内容によると、第三者によって外部で不正に取得されたと思われるメールアドレス・パスワードを用いて、My Starbucksページに数件の不正ログインがあったとされています。
被害はどこまで?
My Starbucksにログインしてできることはすべてと考えてよいでしょう。
「不正に取得された」が、どこからの入手によるものかがわかりませんが、スタバ以外のサービスからの場合、どこかしらのサービスで同じパスワードを使いまわしている人は、それぞれ別のパスワードに変更することを強くお勧めします。
My Starbucksにログインする情報は、メールアドレスとパスワードでログインするようになっています。メールアドレスは外のサイトでも利用している可能性が高いので、IDを使用するログインより不正ログインが成功してしまう可能性が高くなります。
「不正に取得された」が、スタバのサイトから入手された場合でも、今後、別のサイトにアタックを仕掛けられたときに、同じパスワードを登録している場合は、不正ログインが成功してしまいます。
予防策は?
今回のように、不正に入手したアカウント情報を利用して不正ログインを試みる攻撃のことを「リスト型攻撃」といいます。
ログイン情報を入手した悪者は、ほかにもログインできるサイトがないか、誰もがアカウントを持っていそうなGoogle、yahooなど有名どころから試していると思われます。また、コーヒーショップなど関連する企業もアタックの対象になっているでしょう。
リスト型攻撃に対して有効な対策は、パスワードを使いまわさないこと、これに尽きます。
別の攻撃手法に「辞書攻撃」というものもあります。
これは、パスワードに使用されそうなキーワードを収録した辞書のようなものを利用して、片っ端からパスワードを試していくというものです。
辞書攻撃に対して有効な対策は、意味のある言葉をパスワードにしないということ、つまり、ランダム文字列が良いですよということです。
まとめ
パスワード管理が面倒なのは分かります。ツールを使えば楽に管理することもできるので、スタバ会員でない人も、これを機にパスワードを見直してみてはどうでしょうか。
Originally posted 2019-10-27 04:27:41.