Last Updated on 2024-07-06 04:25 by 門倉 朋宏
Rokuは、顧客アカウントが侵害された2件の事件を受けて、ユーザーに対して二要素認証(2FA)の使用を義務付けることにした。今年早くに約591,000人の顧客が影響を受け、最初の事件では15,363アカウントが限定的に影響を受けた。これによりRokuは顧客アカウントの活動をより厳しく監視するようになり、約576,000アカウントが影響を受けた別の事件を発見した。約400人の顧客のアカウントが、アカウントに保存されている金融情報を使用してストリーミングサブスクリプションやRokuハードウェアの購入に使用されたと報告されている。これらの顧客にはこれらの料金が返金され、脅威の行為者はクレジットカード番号などの重要な金融情報を得ることができなかった。また、社会保障番号、生年月日、その他の情報もアクセスされなかった。Rokuはブログ投稿で、攻撃はクレデンシャルスタッフィングを通じて行われたと考えており、影響を受けたアカウントのパスワードをリセットし、全ユーザーに2FAを義務付けたと述べた。次にRokuアカウントにオンラインでログインしようとすると、アカウントに関連付けられたメールアドレスに確認リンクが送信され、そのリンクをクリックするまでアカウントにアクセスできなくなる。
【ニュース解説】
Rokuは、顧客アカウントがクレデンシャルスタッフィング攻撃によって侵害された2件の事件を受け、ユーザーに対して二要素認証(2FA)の使用を義務付けることを決定しました。この攻撃により、今年早くに約591,000人の顧客が影響を受けました。最初の事件では15,363アカウントが限定的に影響を受け、その後の調査で約576,000アカウントが影響を受けた別の事件が発見されました。約400人の顧客のアカウントが不正利用され、ストリーミングサブスクリプションやRokuハードウェアの購入に使用されましたが、これらの顧客には料金が返金されました。Rokuは、攻撃者がクレジットカード番号などの重要な金融情報や、社会保障番号、生年月日などの情報にアクセスすることはなかったと述べています。
クレデンシャルスタッフィング攻撃とは、過去のデータ侵害で漏洩したユーザー名とパスワードの組み合わせを使用して、複数のウェブサイトやサービスに対して自動ログイン試行を行うサイバー攻撃の一種です。この攻撃は、多くのユーザーが異なるサービスで同じログイン情報を使用していることを利用しています。
Rokuが二要素認証を義務付けることによる影響は大きく、ユーザーのセキュリティを大幅に強化することが期待されます。二要素認証は、パスワードだけでなく、ユーザーが所有するもの(例えば、携帯電話に送信される一時的なコード)を使用して認証を行うことで、不正アクセスのリスクを低減します。これにより、たとえパスワードが漏洩しても、攻撃者がアカウントにアクセスすることは困難になります。
しかし、二要素認証の導入にはいくつかの課題もあります。例えば、ユーザーが二要素認証のプロセスを面倒と感じることや、携帯電話の受信環境が悪い場合に認証コードを受け取れない問題などが挙げられます。また、二要素認証を回避するための攻撃技術も進化しており、完全なセキュリティ対策とは言えませんが、アカウントの保護を強化する有効な手段の一つです。
長期的に見れば、Rokuのこの決定は他の企業にも影響を与え、業界全体でのセキュリティ意識の向上と二要素認証の普及を促進する可能性があります。消費者のデジタルセキュリティに対する意識が高まる中、企業は顧客のデータを保護するためにより強固なセキュリティ対策を講じることが求められています。
from Roku Mandates 2FA for Customers After Credential-Stuffing Compromise.
