« リーチサイトのSNSアカウント放置ですよ | トップページ | 東方神起をはじめとするSMエンターテインメントの韓国公式FCの有料会員登録でクレジットカード情報流出? »

2019年2月 5日 (火)

嵐のファンクラブへ不正ログイン攻撃?

数日前からファンクラブに正しいパスワードでログインしようとしているのにログインできないという人の投稿がある程度あり、チケットを申し込むのに会員でいないといけないので妨害目的ではないかという説も出てきています。

3回ログインに失敗すると一定期間(24時間?)ログインできなくなるようで、それを利用した攻撃かもしれないですし、アカウント乗っ取りからチケット購入をするつもりの攻撃の可能性も考えられます。

ジャニーズ事務所も2017年から電子チケットに切り替えているようですが転売対策は完璧ではないという話もあるので、botなどを使った転売目的のための攻撃も考えられるんですよね…

追記

パスワードの再設定ができるできないは初期パスワードから変更しているかどうかが影響しているようです。

今回の問題は問題は会員番号が連番で初期パスワードが登録電話番号の下4桁と推測されやすいといったところが大きいのですが、ログインできてしまうと不正アクセス禁止法、ログインできなくとも大量にアカウントをロックさせると電子計算機損壊等業務妨害罪に問われる可能性があるので、いたずら程度に思っていると後でひどいことになるかもしれないんですけどね…

削除した部分の確認ができたので再度追記。

Johnny's net:ファンクラブ
Q.新パスワードを忘れてしまったので再設定したい。
https://www.fc-member.johnnys-net.jp/support_faq/detail/id/115002834207

被害は組織的な攻撃ほど多くはなさそうなので、一部の人間による嫌がらせのような行動の可能性が高いと現時点では判断しています。

2/7 追記

サイト側で対策をしたようで、24時間から1分になっているようです。

2/9 追記

ロック時間が4時間になったというのといまだにロックされるという投稿が少ないですが続いてます。時間が長くなったのは初期パスワードが脆弱なので短すぎると不正ログインのリスクが高まるということでしょうけど、いまだに続いているのは数が少ない場合は会員番号間違いも考えられますがある程度の数がある場合は何らかの攻撃を受けている可能性がありますね。

« リーチサイトのSNSアカウント放置ですよ | トップページ | 東方神起をはじめとするSMエンターテインメントの韓国公式FCの有料会員登録でクレジットカード情報流出? »

情報セキュリティ」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« リーチサイトのSNSアカウント放置ですよ | トップページ | 東方神起をはじめとするSMエンターテインメントの韓国公式FCの有料会員登録でクレジットカード情報流出? »