2013年12月16日
OCN IDのサーバーへの不正アクセス事象に対する再発防止に向けた取り組みについて
日頃よりOCNサービスをご利用いただきまして誠にありがとうございます。
NTTコミュニケーションズは、2013年7月24日に報道発表いたしましたOCN IDサーバーへの外部からの不正アクセスについて、再発防止に向けた対策および、一部サービス仕様の見直しによる更なるセキュリティの強化を行いましたのでお知らせいたします。
1.不正アクセスの原因と対処について
メールアドレスを利用して各種WebサービスにログインできるOCN IDのサーバーにおいて、外部からの不正なアクセスにより、OCN ID用のメールアドレスと暗号化されたパスワードが流出する事象が発生しましたが、調査の結果、OCN IDサーバーで利用していたソフトウェアの脆弱性が原因であることを確認したため、以下の対処を実施しております。
1.OCNで利用する全ての装置のアクセスログ解析および、OCN IDに対する不正アクセスの侵入経路・攻撃手法について徹底的に分析を実施しました。
その結果、すでにに公表している情報以外に、お客さまの情報流出がないことを確認しました。
2.不正アクセスを受けたOCN IDサーバーについては、新たな装置でサーバーの再構築を実施し、不正アクセスを受けた影響を完全に取り除いております。
3.OCNで利用する全ての装置に対して、脆弱性の有無の調査を含めたセキュリティの総点検を行い、安全性を確認しております。
なお現時点において、流出したOCN IDおよび暗号化されたパスワードの不正利用等の被害の報告はありません。
2.再発防止に向けたセキュリティ強化対策について
今回の事象を踏まえ、再発防止に向けて以下の対策を実施しております。
1.不正アクセスの可能性がある通信をアプリケーションレベルでモニタリングし、不正アクセスを検知し、ブロックする仕組みを導入します。
2.1.で監視の強化を行っておりますが、お客さまの情報流出の恐れがある場合は、お客さまへの被害を防止することを最優先とし、サービスを部分的・一時的に停止することにいたします。
3.重大な脆弱性情報が発見された場合、お客さまの情報を保護をするための迅速な対応を行う体制の強化を行いました。
3.セキュリティ強化に向けたOCN IDの一部サービス仕様の見直しについて
お客さまに安全・安心にサービスをご利用いただくために、一部サービス仕様の見直しによる更なるセキュリティの強化を実施いたします。
(1)OCN IDへの2段階認証(ワンタイムパスワード)の導入について (2014年1月提供予定)※詳細は別途ご案内致します
従来のOCN ID、パスワードに加え、お客さまご自身のみが知り得る、一度だけご利用が可能な暗証番号(以下、ワンタイムパスワード)を設定できる機能を提供いたします。ワンタイムパスワードはお客さまがあらかじめ設定したメールアドレスに、OCN IDログイン時にパスワードを送付する仕組みとなります。
お客さまに送付されるワンタイムパスワードは、一度だけのご利用であり、複雑な乱数により生成されているため、お客さま以外の第三者が類推しにくく、セキュリティレベルの向上が図れます。
(2)OCN IDのパスワード文字数拡張について(2013年10月31日提供済)
OCN IDのパスワードを最大32文字まで設定できるように拡大いたしました。
・変更前 … 6文字以上8文字以内
・変更後 … 6文字以上32文字以内
パスワードを最大の32文字に設定すると、第三者がパスワード総当たり攻撃により解読できる確率が、従来に比べて約200載倍(載:1兆の1兆倍の1兆倍)困難となり、より安全性を高めることができます。
なお、ご利用可能な文字など、その他のパスワードルールに変更はございません。引き続き、定期的なパスワード変更にご協力をお願いします。
OCN IDでは、お客さま以外の第三者による不正なログインがないかどうかを、お客さまご自身で確認する機能を提供しておりますので、あわせてご活用ください。
OCN ID ログイン設定機能
1.ログイン履歴 … ログインした履歴[日時・状態・アクセス元のIPアドレス]を表示する機能です。身に覚えのない利用履歴がないかどうかをご確認いただけます。
2.ログインアラート … ログインに成功した際に、ログイン日時等をメールでお知らせする機能です。お客さま以外の第三者によって不正に利用されていないのかをメールでご確認いただけます。
この度は、お客さまに多大なご迷惑をおかけすることになりましたことを、深くお詫び申し上げます。
今回の事象を厳粛に受け止め、今後も再発防止に努めてまいりますので、何卒ご理解を承りますようお願い申し上げます。