ニュース 2021.03.01 マイナビ転職、21万人のWeb履歴書に不正アクセス

2月9日、同サイトのWebサーバーに不正ログインを確認し、その後の社内調査で1月17日から2月9日にかけて、不正アクセスが行われていたことが判ったという。

アクセスには、外部で不正に取得されたと思われる利用者のIDとパスワードが使われ、利用者になりすましたハッカーがサーバーに侵入。同サイト登録ユーザーの情報に対し、パスワードリスト攻撃を行っていた。

これにより、2000年から2021年2月9日までに「マイナビ転職」に登録したユーザーのうち、21万2,816名のWeb履歴書がアクセスを受けた。

同社では、ユーザー相談窓口を設けたほか、所轄警察署へ通報し、個人情報保護委員会や関係省庁への報告も済ませている。

パスワードリスト攻撃は、アカウントリスト攻撃、リスト型アカウントハッキングとも呼ばれるオンラインサービス不正アクセス攻撃の一種。

ハッカーは、特定のオンラインサービスに対し、ダークウェブなどを通じて用意された、IDとパスワードがセットになったアカウントリストを使って不正ログインを行う。

本来は、IDとパスワードの組み合わせがセキュリティ対策になるはずのところ、IDとパスワードがセットになって流出しているためセキュリティの意味をなさなくなっている。

ユーザーが複数のサイトで同じパスワードを使いまわしていれば、一つのサイトで流出したIDとパスワードが他のサイトの侵入にも利用されてしまう。

マイナビでは、2月9日、不正ログインを試行していたIPアドレス群からの通信を遮断。12日～13日にかけて全ユーザーのパスワードリセットを実施した。

二段階認証などが取り入れていないサイトでは、他のサイトと同じパスワードを利用しないよう意識し、一人一人が安全なパスワードへの設定変更を行っていく必要がある。

【関連リンク】

・「マイナビ転職」への不正ログイン発生に関するお詫びとお願い（マイナビ）
https://www.mynavi.jp/topics/post_29797.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock