eo 不正ログインされたみたい

わが家ではeo光とmineoを使っていますが、先日、eoからログインメールが来ました。

ログインメールは、これまでログインしたことのないパソコンやスマホでeoのマイページにログインすると通知されるメールです。

しばらく使っていない場合でもメールが来るので、普段は気にしないのですが、今回来たメールの内容を見て吃驚しました。

Contents

不正ログインされたかも

来たメールの内容を見ると

eoID：xxxxxxxxxxxxxx
日時：2018年08月xx日 xx時xx分xx秒
端末：Windows 7 (Firefox)
IPアドレス：2001:b011:6:6ea:98d9:cd65:7299:3f2c (台湾(タイワン))

となっています。（eoIDなどは伏字に変えています）

台湾！？
これは明らかにおかしいと思い、念のためパスワードを変更しておきました。

eoからのメールが来た

翌日、eoから不正ログインに関するメールが来ました。

件名：【重要】eoIDの不正ログインについて
※本メールはパスワードリスト攻撃で不正ログインされたお客さまにお送りしています。

平素はeoサービスをご利用いただき誠にありがとうございます。

2018年8月13日から、外部の第三者による不正ログインを確認いたしました。

現時点で弊社からのお客さま情報の流出は確認されておりませんが、
不正ログインの対策として、お客さまのeoID・eoIDパスワードでのログインを
停止させていただきました。
そのため、現在eoID・eoIDパスワードを使用するサービスが
ご利用いただけない状態です。

eoID・eoIDパスワードでのログイン停止解除および、今回の不正ログインに
ついてのご説明をさせていただきますので、
本メールをご覧いただきましたら下記の専用ダイヤルまでご連絡をお願いいたします。

※本メールアドレスは送信専用です。
─‥─‥─‥─‥─‥─‥─‥─‥─‥─‥
お問い合わせ先
─‥─‥─‥─‥─‥─‥─‥─‥─‥─‥

不正ログイン対策ダイヤル

受付時間　9:00～21:00
固定電話、携帯電話、PHSから
0120-996-115(通話料無料)

という内容です。

パスワードリスト攻撃とは、ネット上で収集したIDとパスワードの組み合わせを、他のサイトでもログイン可能か、自動的に探る手法です。

よく、複数のサイトで同じIDとパスワードを使わないで下さいと注意されていると思いますが、この攻撃の対策のためです。

今回、eoのサイトに対してパスワードリスト攻撃をされて、ログインされてしまったようです。

eoに電話して確認

早速、メールに記載されている電話番号に電話をしました。

混みあっているのか、オペレーターにつながるまで20分ほど待ちました。

本人確認されると、eoIDとパスワードを再発行しますとのこと。

新しいeoIDとパスワードは郵送で送るので2～3日かかると言われました。

気になる点があったので確認してみました。

ネット接続の認証情報は変わるのか？

eo光のサービスを使っているので、eoIDが変わるとネット接続用の認証情報も変更されるのか聞いてみました。

eo光はログイン用のeoIDとは別に認証用のIDとパスワードがあります。

もし、これが変更されると自宅のルーターの情報を変更する必要があるので、郵送された書面が届くまでネットが使えない可能性があります。

なかなか確認が取れなくて、しばらく待たされましたが、今回の変更はeoIDのみで認証情報は変更がないとのこと。

したがってルーターに設定している接続用情報は変更する必要はなさそうです。

不正アクセスされたのは、初期IDなのか、変更したIDなのか？

eoIDはeoから発行された初期IDとは別に覚えやすいように独自のeoIDを設定することが可能です。

初期IDを変更するのではなく、ログイン用のIDを追加するということですね。

不正アクセスでログインされた情報が、初期IDなのか、変更したIDなのか気になったので聞いてみましたが、現時点では不明とのことでした。

IDとパスワードの使いまわしは危険

パスワードリスト攻撃については知っていましたが、自分が被害に遭うとは思っていませんでした。

初期IDでログインされたのであれば、他のサイトと共用はしていないのですが、変更したIDとパスワードはかなり昔に共用していたものをそのままにしていました。

ネットを使い始めたころは、覚えるのが面倒なので、ついつい同じIDとパスワードを使ってしまっていました（汗

今はパスワード管理のツールを使ったりして、IDとパスワードの組み合わせを複数用意しているので、複数のサイトで同じIDとパスワードにならないように気を付けています。

皆さんも面倒かもしれませんが、IDとパスワード管理は気を付けてください。

私が使っているパスワード管理のツールは以下の記事に書いてあります。

IDとパスワード管理は「KeePass」でOK

どんどん増えるIDとパスワードの管理は結構大変です。そこで複数のデバイスで使える「KeePass」が便利です。今回はPCでインストールし日本語化する方法と、Androidで共有する方法を紹介します。

KeePassのデータをパソコン間でOneDriveを使って同期する

IDとパスワード管理に便利な「KeePass」ですが、複数のパソコンで使いたい場合で、クラウドストレージ全体を同期したくないときがあります。そんなときはKeePassのデータだけを同期する方法があります。KeePassのプラグインを使えば簡単にできるのでオススメです。