任天堂の不正ログインについての補足
どうも。ヤフーニュース(記事書いたのは朝日)のツイートが気に食わなかったので「公式見たほうがいいです」ってぶら下げてみたら、えぐいほど伸びてgkbrしてる志優です。4桁いったの初めてだ。。
はじめに
一応公式のお知らせでほぼすべて事足りるんですが、一ユーザーとして「任天堂が流出させた!!!」みたいになってるのは少し悲しいので、補足で分かりやすく書いてみようかなと思いエントリ書きました。一番正確で最新な情報は公式なので、まずは公式のお知らせを読んでください。そのうえで、参考程度のこのエントリを読んでいただければ幸いです。
僕自身、仕事でセキュリティのことに触れることは多々ありますが、セキュリティの専門家というわけではないので、間違っているかもという前提で読んでもらうほうが良いと思います。
また、すべての記述は任天堂の公式発表を全面的に信じたうえでという前提で行っています。例えば任天堂が何かしらの隠蔽をしていたとすればまた話は変わってくると思いますが、そんなところから疑ってもキリがないので…
Q. 何が起きたの?
A. 任天堂のサービス「ニンテンドーネットワークID」がリスト型攻撃を受けてなりすましログインされました。
「リスト型攻撃」とは、また別のサービス等から流出したパスワードを用いてログインを試行する攻撃のことです。詳細は下記のリンクをご覧ください。
ややこしいですが、Switchやスマホアプリが使用している「ニンテンドーアカウント」と、 Wii U とか 3DS で使用していた「ニンテンドーネットワークID」は、別のものです。この二つの違いについては公式のよくある質問が分かりやすいです。
つまり、簡単に言えば Wii U や 3DS 用のオンラインサービスに第三者がなりすましログインしていたことが分かったという話です。
じゃあニンテンドーアカウントは何も問題なかったのかというと実はそうでもなく、任天度アカウントへログインするときにニンテンドーネットワークIDを用いてログインする仕組みが存在していました。そのため、ニンテンドーネットワークIDへなりすましログインすると、紐づけられているニンテンドーアカウントにもログインできてしまう状況だった、というのが今回の事件の概要です。
なお上述のニンテンドーネットワークIDからニンテンドーアカウントへのログイン機能は不正ログインを受けて廃止されたため、現在は両サービスは切り離されていることになります。
本日NNIDを経由してニンテンドーアカウントにログインする機能を廃止いたしましたのでお知らせいたします。
https://www.nintendo.co.jp/support/information/2020/0424.html
Q. 「個人情報16万件が流出」って聞いたけど、任天堂のサービスに脆弱性があって流出したの?
A. 違います。
今回任天堂から出ているお知らせには「流出」という表記が一切ないように、任天堂サービスの脆弱性で流出したというわけではありません。
上述の通り、なりすましログインによってニンテンドーネットワークIDへ、またその連携でニンテンドーアカウントへ攻撃者がログインされていたことが問題ですが、これらアカウントの登録情報はログインすれば閲覧が可能なため、攻撃者もなりすましログインで見ることができました。
つまり「攻撃者がリスト型攻撃でなりすましログインを成功させたため、アカウントに登録されている登録情報が閲覧されてしまった可能性がある」という話がニュースサイトなどでは「流出」という表記になりました。
閲覧されてしまった可能性のある情報は以下の内容とのことです。
●NNIDに登録されている以下の情報
ニックネーム、生年月日、国/地域、メールアドレス
●ニンテンドーアカウントに登録している以下の情報
おなまえ、生年月日、性別、国/地域、メールアドレス
※閲覧された可能性のある情報の中に、クレジットカード番号はございません。
https://www.nintendo.co.jp/support/information/2020/0424.html
Q. クレカ番号は流出してないのに「クレジットカード・PayPalを不正に利用されてしまう恐れ」とは?
この一文で不安に感じた人も多いのかもしれません。
NNIDとニンテンドーアカウントで同一のパスワードを使用されますと、マイニンテンドーストアやニンテンドーeショップにて、残高および登録済みのクレジットカード・PayPalを不正に利用されてしまう恐れがございます。
https://www.nintendo.co.jp/support/information/2020/0424.html
これは、「クレジットカード自体が不正に利用される」という話ではありません。上述の通り、なりすましログインによって攻撃者は該当するアカウントを自由に操作できる状態だったため、「カード番号そのものは閲覧することができなかったものの、登録済みカードを用いて任天堂のサービスでお買い物ができた」という話です。
つまり、第三者が勝手にログインしてSwitchなどを購入し、任意の住所に発送させることが可能だったため、これを「クレジットカード・PayPalを不正に利用されてしまう恐れ」と表現しています。
ちなみに、この操作にはニンテンドーアカウントのパスワードが必要(検証できないので記憶を頼りにしていますが、確かそのはず)なため、可能だったとすればニンテンドーネットワークIDだけでなくニンテンドーアカウントも同じパスワードを使いまわしていたことになります。
Q. どういう対策をとればいいの?
A. 公式がめちゃめちゃわかりやすいので、公式をちゃんと読んでもらうことをお勧めします。
Q. 任天堂に落ち度はないの?
A. 全くないとは言えないかもしれませんが、少なくとも「任天堂が流出させた」わけではありません。
今回、例えばもっと早くなりすましログインに気づいていたり、ログイン試行を見つけていたりしていれば、16万件にまで及ぶことはなかったのかもしれません。また、ニンテンドーネットワークIDを用いてニンテンドーアカウントにログインする機能をもっと早く廃止していれば、影響範囲はニンテンドーネットワークIDそのものに限定されました。そういった意味でシステム的な改善の余地はあるため、落ち度は一切ないと言い切ることはできません。
とはいえ、二段階認証も設定可能ですし、ログイン通知などの仕組みもちゃんと整っているので、一般的に必要とされる不正ログイン対策は十分に行われていると思います。第一リスト型攻撃が原因である以上、他サービスとパスワードを使いまわしていることが原因のため、ユーザーの責任が大きいです。
そういった理由から「今回の事件は任天堂が悪い」となるのは筋違いであり、また「任天堂が流出させた」という表現も不適切だと考えています。
Q. ニンテンドーオンラインIDは使ってません。Switchで初めてアカウント作りました。関係ある?
A. 今回の件には関係ありません。
今回はあくまでニンテンドーオンラインIDにてなりすましログインされたという話なので、Switchで使用するニンテンドーアカウントしか使用していない場合は関係ありません。とはいえ、パスワードの使いまわしをしていたらリスト型攻撃でログインされてしまう可能性は大なので、ちゃんとセキュリティ対策をとる必要はあります。
もう一度このリンクをば。
Q. こんな1か月もない間に16万件もログインされるはずがない!任天堂は隠してる!
A. 詳しいことは任天堂の中の人じゃないとわかりませんが、可能性のあるアカウントをリストアップしたら16万件になった、というのはあり得ない話じゃないと思います。
おそらく16万件というのは、不正ログインが疑われるアカウント全件を出しているのだと思いますが、ログイン元IPが単一でなかったりすると、不正ログインではない普通に使用されていたアカウントも含まれる可能性があります。その場合、件数が一気に増えてしまいます。
また、いろいろな契約に引っかかってしまうので詳細は書けませんが、私も仕事をするうえでリスト型攻撃(と思われるもの)は本当によく見かけます。想像の何倍も日常的に行われている攻撃だと思ってもらうほうが良いと思います。
最後に
途中でも少し触れましたが、今やリスト型攻撃を含め、あらゆる手段でアカウントを乗っ取ろうとする攻撃が日常的に行われています。「いつ狙われてもおかしくない」という時代になっているので、「パスワード使いまわさない」などを含め、ユーザーそれぞれがセキュリティ対策をしっかり心掛ける必要があると思います。
繰り返しになりますが、このエントリはわかりやすく補足するものですが、一番正確で最新な情報は公式です。公式の内容を踏まえたうえで、このエントリも補足として活用いただけましたら幸いです。
何か質問がありましたらTwitterやコメント欄にて頂ければ、こたえられる範囲でこたえようと思います。
また、もし内容に間違いを発見された場合は、どこからでも構わないのでご連絡いただけますと幸いです。
サポートしていただけると嬉しさのあまり裸踊りします。嘘です。でも本当にそれぐらい嬉しいです。 頂いたお金は活動に充てると言いたいですが、おいしいもの食べるのに使ったらすみません。