2020年4月24日、任天堂は自社のアカウントサービス「ニンテンドーネットワークID」が不正ログインの被害を受けたと発表しました。ここでは関連する情報をまとめます。
www.nintendo.co.jp
Wii U、3DS向けのアカウントサービス通じ発生
任天堂は不正ログインの事象として次の内容を報告している。
- ニンテンドーネットワークIDに対しなりすましログインと思われる事象が発生
- ニンテンドーネットワークID経由で一部ニンテンドーアカウントに不正ログインされる事象が発生
- ニンテンドーネットワークIDはWii Uやニンテンドー3DS向けに提供されるサービス。Nintendo Switchでは使用しない。
かんたんログインが悪用されたか
任天堂は同日付でニンテンドーネットワークID経由でニンテンドーアカウントにログインする機能を廃止したと発表
- ニンテンドーアカウントには他サービスと連携することでログインできる「かんたんログイン」機能が存在。
- かんたんログインで連携できる対象には今回被害が確認されたニンテンドーネットワークIDも含まれていた。(現在のログイン画面上には存在しない)
- 発表での具体名の言及はないが「ニンテンドーネットワークID経由」とあることからかんたんログイン機能が悪用された可能性がある。
SNSへの報告等、一部未確認情報を含めたもの(?の箇所)は以下の通り。
不正購入は個別調査で対応
- 任天堂は不正ログインを受けた可能性があるニンテンドーネットワークIDが約30万件(4月24日は約16万件、その後の調査で約14万件が追加)と発表。
- 以下の情報が閲覧された可能性がある。
ニンテンドーネットワークID | ニックネーム、生年月日、国/地域、メールアドレス |
---|---|
ニンテンドーアカウント(連携時) | おなまえ、生年月日、性別、国/地域、メールアドレス |
閲覧された情報の内、クレジットカード情報は含まれないと発表されている。もしニンテンドーアカウントの情報を閲覧されていた場合は一部情報が確認可能だった。
Twitter等で複数報告されていた不正購入の被害発生は直接言及されていないが、任天堂は個別調査の上購入取り消し等を行うと説明。
今日のハイライト
— カルビ (@hnk_emtn_love) 2020年3月28日
チリ共和国から不正ログインされて、11000円分のフォートナイトの課金アイテムを買われてしまう。
オワタ\(^o^)/ pic.twitter.com/4rFEyaitdh
任天堂アカウントに不正アクセスされてフォートナイト3万も課金されてホゲェってなってる
— junnya iida (@WRXGAC) 2019年12月30日
なお、4月25日時点でかんたんログイン後に購入を行おうとした場合はパスワードが求められる。(これが元々の実装だったのか、ニンテンドーネットワークIDでも同様だったのかは不明)
6月9日の報告では不正取引の被害を受けた利用者は全体の1%未満(最大約3000件)とし、大半の顧客は既に返金処理が済んだことを報告。
3月頃から発生?
- 今回の不正ログイン被害は4月20日の自社調査を通じて発覚。*1
- 3月頃には不正購入の被害報告がSNS上で目立つようになり、4月にたびたび任天堂の公式サポートのTwitterアカウントも注意喚起を行っていた。
ニンテンドーアカウントとほかのサービスで、同じID/パスワードを使い回さないでください。使い回しをしていると、万一ほかのサービスで情報漏えいが発生し、ID/パスワードが外部に流出した場合、その情報を利用してニンテンドーアカウントに不正ログインされる可能性があります。#不正ログイン防止 pic.twitter.com/q3ItBYvmwa
— 任天堂サポート (@nintendo_cs) 2020年4月15日
更新履歴
- 2020年4月25日 AM 新規作成
- 2020年6月9日 PM 続報追記
*1:任天堂、個人情報16万件が流出 不正ログインで購入も,朝日新聞,2020年4月24日