ワンタイムパスワード生成器 - 二要素認証

ちょっと前の クラブニンテンド―での不正ログイン事件 の直後、続いてコナミ会員サイトでも不正ログイン事件が起きた様です。

コナミ会員制サイトでも不正ログイン3万5000件 ID・パスワードは他社サービスから流出か - ITmedia ニュース

今回の事件を遡ると。

• ニュース - ディノスに111万件の不正アクセス、1万5000件の不正ログイン：ITpro
• 阪急・阪神百貨店でも不正ログイン、カード番号など顧客情報を閲覧される -INTERNET Watch
• 三越の通販サイトに不正ログイン試行520万件、会員情報8289件不正閲覧 -INTERNET Watch
• 「ニッセンオンライン」でも不正ログイン発生、126アカウントで -INTERNET Watch

もう一つが。

• ヤフー、暗号化されたパスワード148万件も流出の可能性 不正アクセスで - ITmedia ニュース

さらに。

• クラブニンテンドーに不正ログイン2万4000件 ID・パスワードは他社サービスから流出か - ITmedia ニュース
• 楽天に不正ログイン 楽天ポイント盗み第三者のEdyにチャージか - ITmedia ニュース
• コナミ会員制サイトでも不正ログイン3万5000件 ID・パスワードは他社サービスから流出か - ITmedia ニュース

今年の 5 月~ 7 月のわずか 3 ヶ月間で、これだけの不正アクセス、情報が漏洩しています。

まずは、同じパスワードを、別のサービスで二度とで使わないにように！

です。それと、前も書きましたが、二要素認証や二段階認証は必須な時代です。

• Google: Google 2 段階認証プロセス
• Facebook: 追加のセキュリティ機能 - Facebookヘルプセンター
• その他多数: 2段階認証ノススメ (まとめ) - セキュリティは楽しいかね？ Part 2

設定は面倒ですが、銀行サイトでは当たり前の手法だし。お手元のスマホをワンタイムパスワード生成器化するアプリで、簡単ワンタイムパスワード認証ができますよ。

一方、サーバ側の要となる WAF 。

• パスワードリスト攻撃（あらかじめ入手してリスト化したID・パスワードを利用したWebサイトへの不正ログイン）への対応 - Scutum技術関連情報 ｜ SaaS型 WAFサービス Scutum

さっそく WAF 装置も、この不正ログインパターンにすぐ対応されて来た様です。

• 二要素認証追加機能を提供開始 - Scutum技術関連情報 ｜ SaaS型 WAFサービス Scutum 【スキュータム】

さらには、最近話題のに要素認証機能も追加されています。
これがまた、電話のシステムとして IP 電話 API である KDDI の twilio を使っている所が面白い。

• Twilio for KDDI Web Communications｜KDDIウェブコミュニケーションズ

SMS を使っているということで、1 認証に約 10 円の SMS 送信をしている様です。

以前から SiteGuard を触る機会が多かったですが、この Scutum の対応の速さは良いですね。

これからますます二要素認証が増えてきそう！

面白い！