24日に不正ログインの被害を発表したヤマト運輸の会員制サービス「クロネコメンバーズ」が、一部環境において2段階認証が機能していなかったとして物議を醸しています。

ヤマト

クロネコメンバーズ 2段階認証説明ページ(以下、画像はクロネコメンバーズのサイトより)

 ヤマト運輸は「クロネコメンバーズ」に対してパスワードリスト攻撃とみられる不正ログインの被害を受け、3467件の個人情報が流出した可能性があると24日に発表していました。「クロネコメンバーズ」は、2段階認証を設定できるようになっていましたが、一部から「2段階認証を要求されるのはPC版のみで、スマートフォンを使用した場合は2段階認証が効かない」と指摘され「2段階認証を設定する意味がない」と批判の声が上がることに。

ヤマト

PCの別のブラウザでアクセスしようとするとちゃんと2段階認証が発動する

 実際、クロネコメンバーズのQ&Aを確認すると「ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません」との文言も。なぜこういった仕様になっているのか、ヤマト運輸に問い合わせを行いました。

――以前から指摘はあったようですが、スマホからの2段階認証を実装してこなかったのはなぜでしょうか?

ヤマト運輸:指摘いただいていた点は認識しておりました。しっかりとモニタリングをしており、セキュリティ対応をしてなかったわけではないのですが、今回このような形でお客さまに不安を与えてしまい申し訳なく思っております。クロネコメンバーズをご利用いただいているお客さまに少しでも安心してご利用いただけるよう、サービス全般を再点検していく所存です。

――24日に発表された流出事件では、2段階認証を設定していたアカウントも被害に遭ったのでしょうか?

ヤマト運輸:今回受けた攻撃はリストを元に機械的にアクセスを試みていく方法で、2段階認証を設定いただいていたアカウントの情報は流出しておりません。

――2段階認証設定アカウントの流出はゼロだったということですか?

ヤマト運輸:不正ログインがあった3467件中、2段階認証が設定されていたアカウントはゼロです。

 ヤマト運輸は不正ログイン被害の発表時に「今回の事態を厳粛に受け止め、再発防止に向けてさらにセキュリティの高度化を図ってまいります」ともコメントしており、今後どういった対策を取るのか注目が集まります。

ヤマト

Q&Aでもスマホからだと2段階認証は適用されないと説明していた