ミクシィは、SNS「mixi」に不正ログイン攻撃が行われ、本来のユーザーが行っていない“つぶやき”「mixi ボイス」が投稿されたと発表した。不正ログインの被害に遭った ID の数は1万6,972件。同社は、不正ログイン対象のユーザーにパスワード変更を依頼する。

不正ログインが行われたのは、2月28日の2時45分から14時のあいだ。同社がプレスリリースで公開した不正ログインによる mixi ボイス投稿の例には、何らかの試用版アプリケーションをダウンロードできると称する URL が記載されている。この種のリンクはフィッシング サイトへの誘導や攻撃用コードの実行を目的とすることが多く、絶対にクリックしないでほしい。

「mixi」に不正ログイン攻撃、怪しい“つぶやき”は絶対クリックしちゃ駄目!
不正投稿の例
怪しいリンクが記載されている

ミクシィは、不正なつぶやきを削除するとともに、不正ログインされたユーザーにパスワードの変更を依頼するとしている。また、不正利用者のアクセス制限を実施するとのことだが、どのように不正利用者を特定し、どのような方法で制限したのかは不明。

今回の不正ログイン攻撃についてミクシィは、何らかのルートから流出した ID/パスワードを悪用したログイン試行攻撃と考え、mixi 用サーバーからのアカウント情報流出はなかったとみる。他社のサービスでも同一のパスワードを使い回していたり、mixi のパスワードを長いあいだ変えていなかったりする場合は、パスワードを変更するよう呼びかけている。