任天堂は4月24日、「ニンテンドーネットワークID(ニンテンドー3DSシリーズやWii Uで使用するアカウント、以下NNID)」に4月上旬ごろから「なりすましログインを行ったと思われる現象が発生していることを確認」したと発表しました。また、このニンテンドーネットワークID(NNID)を通してニンテンドーアカウントへ不正ログインしている事案も確認したという。
「ニンテンドーネットワークID」に対する不正ログイン発生のご報告と「ニンテンドーアカウント」を安全にご利用いただくためのお願い|サポート情報|Nintendo より
不正ログインを受けた可能性のあるNNIDは約16万件で、ニンテンドーネットワークIDに登録されている情報(ニックネーム、生年月日、国/地域、メールアドレス)、そしてニンテンドーネットワークIDに紐付けているニンテンドーアカウントの登録情報がそれぞれ流出した可能性があると発表しているが、クレジットカード番号が閲覧された可能性はないとしている。
なぜ流出したのか?
今回の流出は、パスワードリスト攻撃(クレデンシャルスタッフィング攻撃・アカウントリスト攻撃)によるものでした。
※パスワードリスト攻撃とは、1つのサービスから漏洩したアカウント情報を使って、別の無関係なサービスにログイン試行するという手法です。
任天堂は、NNID経由でニンテンドーアカウントにログインする機能を24日付で廃止。不正ログインされた可能性のある2種類のアカウントに対しては、順次パスワードリセットを行うと発表している。パスワードリセットを行ったアカウントのユーザーにはメールで連絡する。連絡を受けたユーザーは、パスワードの再設定が必要です。
また、その際、他のサービスなどで既に使っているパスワードの使い回しをしないことが大切です。なぜなら今回のような攻撃がまた起きた場合に、不正ログインされてしまう可能性があるからです。
実害は発生しているのか?
SNS上では、クレジットカードの不正利用の報告も上がっていますが、任天堂はクレジットカード情報が閲覧された履歴は無いと発表しておりますので、今回の流出による被害かどうかは現状では、はっきりとしてしておりません。そのためこのクレジットカードの不正利用は、今後任天堂の調査が進むのを待つことが必要です。
NNIDとニンテンドーアカウントに同じパスワードを使用すると、マイニンテンドーストアやニンテンドーeショップで、残高および登録済みのクレジットカードやPayPalを不正に利用されてしまう恐れがあるため、念のため、パスワード変更することも検討した方が良いかもしれません。
今後の対策(自分で出来ること)
まず、可能であれば複数のサービスで同じパスワードを使いまわすのは、避けた方が良いと思います。また、すぐにパスワードを変更することが難しれば、二段階認証を設定するのがオススメです。
※二段階認証とは、通常のログインパスワードとは別にもう一つパスワードを設定すること。
パスワードはどこから流出するのか全く分からないですので、パスワードが流出した場合に備えて、上記の二段階認証の設定を行うことや、ログイン時にメールで通知してくれるサービスに登録するのがオススメです。