株式会社Kubellが提供するクラウド型ビジネスチャットツール「Chatwork」において、不正ログイン試行が増加傾向にあるとのこと。公式HPにてセキュリティ対策の見直しを行うよう、注意が呼び掛けられています。
■ リスト型攻撃
公式HPの発表によると、該当行為に使用されているメールアドレス・パスワード情報は、Chatwork側から漏洩したものではなく、第三者が他から不正に取得したメールアドレス・パスワードを使用し、Chatworkへログインができるかを試みているもの、とのこと。
これは「リスト型攻撃」と呼ばれるサイバー攻撃の手法で、余所で漏えいしたメールアドレス・パスワード情報の組み合わせを使ってログインを試みようとしています。他社サービスと同一の組み合わせを使いまわしている方は特に注意が必要です。
Chatworkでは不正アクセスと思しきログイン試行を検知した場合、遮断するよう対応を行っているものの、正常なログインとの区別が難しい場合があるため、ユーザー自身でセキュリティ対策を行って欲しいとしています。その方法として、以下二通りの手段が示されています。
■ 対策1:二段階認証の設定
ひとつめは二段階認証の設定。設定を行うことにより、各スマートフォン・携帯電話にひもづいた情報がログインに必要となるため、第三者がメールアドレス・パスワードを入手していたとしても、不正にログインすることができなくなり、安全性が高まるとのことです。
二段階認証に必要となる認証コードの受け取り方は、PC、iOS、Androidで若干異なりますが、「SMS(テキストメッセージ)」または「Google Authenticator(Google認証システム)」などの認証アプリを使用して受け取る(フリープランの場合はSMS認証は利用不可)方法があります。
設定の最後に表示される「バックアップコード」は、モバイル端末の機種変更や紛失により認証コードが確認できなくなった際に必要になるので、対象の端末とは別の端末に保存しておくか、印刷して大切に保管してください、とのことでした。