株式会社Kubellが提供するクラウド型ビジネスチャットツール「Chatwork」において、不正ログイン試行が増加傾向にあるとのこと。公式HPにてセキュリティ対策の見直しを行うよう、注意が呼び掛けられています。
■ リスト型攻撃
公式HPの発表によると、該当行為に使用されているメールアドレス・パスワード情報は、Chatwork側から漏洩したものではなく、第三者が他から不正に取得したメールアドレス・パスワードを使用し、Chatworkへログインができるかを試みているもの、とのこと。
これは「リスト型攻撃」と呼ばれるサイバー攻撃の手法で、余所で漏えいしたメールアドレス・パスワード情報の組み合わせを使ってログインを試みようとしています。他社サービスと同一の組み合わせを使いまわしている方は特に注意が必要です。
Chatworkでは不正アクセスと思しきログイン試行を検知した場合、遮断するよう対応を行っているものの、正常なログインとの区別が難しい場合があるため、ユーザー自身でセキュリティ対策を行って欲しいとしています。その方法として、以下二通りの手段が示されています。
■ 対策1:二段階認証の設定
ひとつめは二段階認証の設定。設定を行うことにより、各スマートフォン・携帯電話にひもづいた情報がログインに必要となるため、第三者がメールアドレス・パスワードを入手していたとしても、不正にログインすることができなくなり、安全性が高まるとのことです。
二段階認証に必要となる認証コードの受け取り方は、PC、iOS、Androidで若干異なりますが、「SMS(テキストメッセージ)」または「Google Authenticator(Google認証システム)」などの認証アプリを使用して受け取る(フリープランの場合はSMS認証は利用不可)方法があります。
設定の最後に表示される「バックアップコード」は、モバイル端末の機種変更や紛失により認証コードが確認できなくなった際に必要になるので、対象の端末とは別の端末に保存しておくか、印刷して大切に保管してください、とのことでした。
■ 対策2:パスワードの変更
もうひとつの方法はパスワードの変更。Chatworkに限った話ではありませんが、他のWebサービスと同一のメールアドレスとパスワードの組み合わせを使いまわしていたり、容易に推測可能なパスワードを設定している方は、必ず変更しましょう。
パスワード変更については、Chatwork内の「アカウント設定」から実行可能。新しいパスワードは即時反映されるため、定期的に見直しを行うことで、より不正アクセスの可能性を減らすことができるでしょう。
■ もしも不正アクセスされてしまったら
もし利用しているアカウントについて、身に覚えのない操作履歴や、不審な点を確認した場合は、すぐにChatworkの「お問い合わせフォーム」より、問い合わせを行うよう案内されています。
不正ログインされてしまうと、他者とやり取りした内容を閲覧されてしまう可能性が考えられます。特にChatworkはビジネス目的での利用が大半であることから、機密情報や非公開情報等の漏洩にもつながりかねません。
まだ上記設定を行っていない方は、今回の呼び掛けを機に今一度セキュリティ設定の見直しを早急に行ってください。
<参考・引用>
Chatwork公式HPお知らせ「Chatworkへの不正ログイン防止のためのセキュリティ対策のお願い」
総務省「リスト型攻撃対策集について」(PDF)
※掲載画像はChatwork公式HPのスクリーンショットです。
(山口弘剛)