資生堂は2日、同社の子会社で化粧品販売を手掛けるイプサの公式オンラインショップが外部から不正アクセスを受け、当該サイトで決済した顧客のクレジットカード情報や登録した個人情報が流出した可能性があると発表した。
発表によると、対象となるのは2011年12月14日~2016年11月4日にイプサ公式オンラインショップでクレジットカード決済をした人が対象。クレジットカード情報はカード会員名やカード番号、住所、カード有効期限で、最大56,121件。個人情報に関しても、421,313名の氏名、性別、生年月日、年齢、電話番号、メールアドレス、ログインパスワードなどが流出した恐れがあるとされている。
なお、資生堂グループの他の通販サイトとは完全に分離したシステムで運営しているため、資生堂グループのサイトは対象ではないという。
不正アクセスなどによる情報漏えいが続くが、自ら危険から身を守る方法はあるのだろうか。また被害にあっていないか確認する方法はないだろうか。これに関して、ウイルス対策に詳しいエンジニアの齋藤実氏がAll Aboutの『自分のメールアドレスが流出していないか確かめる方法』で以下のように解説している。
**********
メールアドレス流出を確認できるサイト「Have I Been Pwned?」
齋藤氏によると、自分のメールアドレスが漏洩していないかチェックできるWebサイト「Have I Been Pwned?」が話題になっていると紹介している。このサイトは過去にメールアドレス流出を起こしたオンラインサービスのデータが登録されていて、自分のメールアドレスを入力することで漏えいの有無をチェックすることができるという。
「Have I Been Pwned?」は闇サイトで流通している情報を上げているので、漏えいがあったサービスの運営側が公表する数字よりも正確に近い流出情報といえると齋藤氏は述べている。
サイトの使い方は、サイトのトップページで、メールアドレス(またはID)を入力して「Pwned?」をクリックするだけという。実際に、齋藤氏はこのサイトで自身のメールアドレスをチェックしたところ、パスワードが流出していることがわかったという。齋藤氏は「漏えいがわかったら、すぐにパスワードを変更しましょう」と述べている。
斎藤氏は、注意点として、「Have I Been Pwned?」のサービスではすべてのパスワード流出事件を網羅しているわけではなく、同サービス運営側で入手できた情報に限られているため、「もしセーフの判定でも油断だけは禁物」としている。
パスワードの使い回しはNG
斎藤氏によると、知らないところで流出したパスワードがリスト化され、不正アクセスに悪用され、金銭被害も起きているという。
斎藤氏は、ユーザーができる対策として、まず、パスワードを使い回すのは危険と述べている。Webサービスごとに別々のパスワードを設ける必要があると同時に、推測可能な弱いパスワードを使わない(意味を持たないランダムな大小英数字及び記号のパスワードを使う)ことも大切と齋藤氏は説明する。
またパスワードを使うデバイスにはウイルス対策ソフトを使い、パスワード詐取を目的とした偽サイト(フィッシング詐欺)にも注意してほしいと齋藤氏は述べている。
一方で、数多くの複雑なパスワードを覚えることは現実的ではないとも齋藤氏は指摘しており、パスワード管理ソフトやエクセルなどを活用することを勧めている。自分に合った、作業ミスのない方法を選択するのがポイントだ。
パスワードの他に、セキュリティサービスが提供されている場合もある。たとえば、いつもと違うデバイスからログインがあると登録したアドレスにメールが届くといったサービスがあり、万が一の不正アクセスに備えて、このようなサービスをしっかりと活用してほしいと齋藤氏は述べている。
【関連リンク】
