スマートフォン向けゲームを展開するKLab株式会社は7/28、同社がユーザー向けに提供している「KLab ID」2,439件に対して、パスワードリスト型攻撃と見られる不正ログイン行為が確認されたことを公表しました。今のところ適時開示はされていません。
KLab
KLabはスマートフォン向けアプリを中心にモバイルオンラインゲームの企画・開発・運営を行う東証1部上場企業です。海外展開にも注力しており、近年のヒット作には「ラブライブ!スクールアイドルフェスティバル」などがあるとのこと。あっ、この社名、「クラブ」と読みます。
52万件の不正メール送信
不正アクセスには外部から入手したと思われる約52万件もの個人データが利用されています。この「外部」というのは、おそらく他社で登録されている顧客のデータだと思われます。犯人はこのデータを「KLab ID」に新規会員登録したようです。
「KLab ID」では新規会員登録時に利用者がメールアドレスを登録する必要があり、そのメールアドレスに対して確認メールを自動で送信する仕様となっているため、約52万件に確認メールが送信されたようですね。つまり、他社の顧客宛に「KLab ID」登録ありがとうございますメール、が飛んだということみたい。
2,439件の不正ログイン
その後、同社サービスに登録済と見られるユーザーのアカウントに対して、同52万件のデータを使い、パスワードリスト攻撃を行っています。この不正ログインにより閲覧された可能性のあるデータは、顧客のメールアドレス、ひみつの質問と回答、生年月日、性別、言語などです。
「ひみつの質問と回答」が流出しているのは気になりますね。不正ログインの発生に加え、他社顧客に迷惑メールが52万件も送られているのに、事態の公表は同社ホームページだけ。この開示に対する姿勢には非常に疑問が残ります。