月曜日から話題となっているホンダのランサムウェアの件を調べていたのですが、案の定piyologで取り上げられていましたので、本日はこちらの記事を取り上げたいと思います。

※因みに本日朝の段階でホンダのネットワーク障害が直ってない様です。

www.47news.jp

 

公式発表

• 「ニンテンドーネットワークID」に対する不正ログイン発生のご報告と「ニンテンドーアカウント」を安全にご利用いただくためのお願い（4/24 *6/9更新）

 

キタきつねの所感

「ニンテンドーアカウント」に約16万件侵害があったと発表されたのは4月下旬でした。更に追加調査によって、倍近くの約14万件の侵害が追加発表されました。

 

肝心の原因ですが、公式発表（初報）にユーザが侵害を受けた原因部分が読み取れます。

＜お客様ヘのお願い＞

パスワードリセットが行われたNNIDやニンテンドーアカウントにはメールでお知らせいたしますので、次回、使用される際はパスワードの再設定（※2）をお願いいたします。その際、すでに他のサービス等でお使いのパスワードの使いまわしは避けていただきますようお願いいたします。
また、これまでNNIDを経由してニンテンドーアカウントにログインされていたお客様につきましては、次回のログイン以降、ニンテンドーアカウントのメールアドレス/ログインIDでログインいただきますようお願いいたします。
NNIDとニンテンドーアカウントで同一のパスワードを使用されますと、マイニンテンドーストアやニンテンドーeショップにて、残高および登録済みのクレジットカード・PayPalを不正に利用されてしまう恐れがございます。NNIDとニンテンドーアカウントには異なるパスワードを設定いただきますようお願いいたします。

（公式発表より引用）

 

昨日の記事に引き続き、奇しくも「パスワード問題」に行きつきました。

詳細調査により件数が増えた部分以外（上記原因も含め）については、6/9の発表でも特に原因修正がされていませんので、変わりがないのかと思います。

 

この公式発表の記載から考えると、ニンテンドーネットワークID（NNID)とニンテンドーアカウントでパスワードを使い回し、二段階認証オプションも使ってないユーザ側に大きな問題があるのだろうと思います。

しかし、任天堂側もSwitch販売などに合わせたニンテンドーアカウントを作る際に、ニンテンドーネットワークIDと同一なパスワードを弾くといった処理が出来なかったのか？あるいは移行期間中だけ同期を取る（暫定ログインができる）といった事が出来なかったのかというと考えると、私は任天堂側にも出来る事はあったのではないかと考えます。

※強いて言うならばユーザ啓蒙（パスワードの使い回し）もそうですが、ここは繰り返し啓蒙していくしかない気がします。

 

ふと思うのが、この別サイトを経由してのパスワードリスト攻撃は、周辺から攻められる所が、７Payが「7ID」を経由して侵害されたケースと似ている気がします。

 

色々と難しい問題があったのかと推察しますが、Switch販売に併せて2段階認証を標準にする事も、もう少し検討の余地があったのではないでしょうか。

 

余談です。4月に初報が出たきっかけについて、海外記事に書かれていました。こちらの記事を見ると、4月20日には海外ゲーマーサイトで「ハッキング」が記事になっています。（※任天堂の公式発表は4月24日）

www.eurogamer.net

任天堂はユーロゲーマーに、任天堂のアカウントへのアクセスがあったというスイッチ所有者からのレポートの波を積極的に調査していると語った。

昨日、Eurogamerは、多くのアカウント所有者が過去数週間にNintendoアカウントにアクセスしたことを報告したと報告しました。Eurogamerのスタッフメンバーが最近影響を受けました。

（EuroGamer記事より引用）※機械翻訳

 

決して遅いとは言い切れませんが、別事件でコインチェック社が3日で最終報告を出した事を考えると、任天堂の第2報までの動きは（ユーザ数を考えると仕方が無い部分も分かりますが）、スピード感にかける印象です。

セキュリティインシデントの報告書で信頼を高める——コインチェックの対応に学べ (1/2) - ITmedia エンタープライズ

 

Twitterを調べると、4/19には既に大型データ侵害の可能性が示唆されていました。

I suspect Nintendo may have had a major security breach. My account was accessed numerous times overnight.

My password is a unique string and my PC is definitely clean (not that I ever login via it).

Lots of similar reports on Reddit/twitter.

Unlink PayPal & enable 2FA folks!

— Pixelpar (@pixelpar) April 19, 2020

 

今回のデータ侵害事件を受けて、結局はニンテンドーネットワークID（NNID)とニンテンドーアカウントの接続を閉じた事を考えると、もっと早くやっておけば良かったのではないでしょうか。

 

もう1点。漏えいした欧州ゲーマーの漏えいしたアカウントのパスワード状況について、記事で触れられていたので引用しておきます。

私たちの話を読んだ後、自分のアカウントがアクセスされただけであることに気づいた昨夜の影響を受けた人々に話を聞いたところ、固有のパスワードを使用する人々と他の場所で同じパスワードを使用した人々の混合パターンを聞きました。

（EuroGamer記事より引用）※機械翻訳

 

任天堂は内部からの情報漏えいを否定してますが、パスワードの使い回しではないと主張していたゲーマーも居た様です。

 

 

※パスワード使い回し防止については、下記のレポートも良かったらご覧下さい。

ホワイトペーパー | 一般社団法人日本プライバシー認証機構(JPAC)

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 

 

更新履歴

• 2020年6月10日 PM