piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

2014年9月にdocomo IDへ行われた不正ログインについてまとめてみた

9月30日にNTTドコモは同社の認証サービス docomo ID に対して、不正ログインによる個人情報漏えいが発生した可能性について発表しました。ここではその関連情報をまとめます。

(1) インシデントタイムライン

日時 出来事
9月27日 23時30分
〜9月29日 20時25分
docomo IDに対して不正ログインの試行が行われる。
9月29日 NTTドコモdocomo IDに対して不正ログインが行われていることを確認。
9月30日 NTTドコモが不正ログインによる被害について発表。

(2) 被害状況

被害を受けたサービス

docomo IDはサービスを使いこなすためのカギとなるものであり、多彩なサービスをより便利に自在にご利用になれます。
IDを使えばLTEWi-Fi、固定などの回線の種類や、OSや端末の種類に問わずに利用できるようになります。

不正ログインの被害状況
不正ログイン被害件数 6,072件(ユーザー数) (2014年9月30日現在)
ログイン試行回数 約225万件(報道) *1
ログイン試行日数 2014年9月27日 23時30分〜9月29日 20時25分(1日と21時間)
ログイン成功率 約0.3%
会員数
流出した可能性のある情報
  • 不正ログインされたユーザーの内、一部の会員情報が閲覧された可能性がある。
契約内容確認画面 1ページ目
  • 契約者氏名
  • 契約者氏名フリガナ
  • 契約者郵便番号・住所
  • 契約者電話番号
  • 請求書氏名
  • 請求書氏名フリガナ
  • 請求書等送付先郵便番号・住所
  • 請求書等送付先電話番号
  • 支払方法
  • 請求形態
    • クレカの場合はカード会社とカード番号の下4桁のみ表示
  • 回線契約種別
  • 継続利用期間
  • 端末利用期間
  • ドコモポイント
  • ケータイ補償ポイント
  • ドコモオプレミアクラブステータス
  • Myインフォメール受信希望設定
  • DCMX契約状況
  • DCMX Gold契約状況
  • ドコモマイショップ
契約内容確認画面 2ページ目
  • 料金プラン
  • 割引サービスの利用有無
  • 利用料金関連サービスの利用有無
  • ドコモサービスパックの利用有無
  • 音声・通話サービスの利用有無
契約内容確認画面 3ページ目
  • ニュース・情報配信の利用有無
  • 音楽・映像配信の利用有無
  • コンテンツ使い放題サービスの利用有無
  • あんしん・安全の利用有無
  • spモードの利用有無
  • iモードの利用有無
  • メールサービスの利用有無
  • 国際サービスの利用有無
  • データ通信・ブラックべリーの利用有無
  • MNP予約状況
  • コンテンツ会社提供サービスの利用有無

(3) 発端

  • 9月29日にNTTドコモが不正ログインを受けたことを確認したことによる。

(4) 原因

  • NTTドコモはリスト型攻撃によるものと判断
    • サーバーへの不正アクセスによるdocomo IDの流出ではなく、第三者が利用者のIDやパスワードを不正に入手し行われたと判明したため。

(5) 対応・対策

  • 不正ログイン被害について発表
  • 不正ログインされたユーザーのアカウントロック
  • 不正ログインされたユーザーへ個別にメールで連絡
  • 不正ログインの試行を行うIPアドレスの接続を制限
  • 再発防止に向けてセキュリティ強化へ取り組み

(6) ログイン仕様 (2014年10月3日調査)


ログインID
  • メールアドレスを指定
  • 登録後に任意の文字列に変更可能
    • 半角英数字
    • 6〜20文字
パスワード
  • 半角英数字記号
  • 8〜20文字

パスワードに使用可能な記号
「#」、「$」、「%」、「(」、「)」、「*」、「+」、「-」、「.」、「/」、「:」、「;」、「?」、「@」、「[」、「]」、「_ 」、「{」、「}」、「~」の20種です。

https://id.smt.docomo.ne.jp/cgi8/id/register
その他
  • Facebookアカウントでの認証に対応
  • パスワード強度を表示する機能有り
  • 二段階認証に対応
  • ログイン履歴確認機能有り
ログイン経路によって遷移先画面が異なる


docomo IDの管理メニューから個人情報を確認することは出来ないため、My docomo等を通じてログイン試行が行われたものと思われる。

更新履歴

  • 2014/10/03 AM 新規作成