お知らせ
OCN IDのサーバーへの不正アクセス事象に対する再発防止に向けた取り組みについて
平素はNTTコミュニケーションズのサービスをご利用いただきまして、誠にありがとうございます。
NTTコミュニケーションズは、2013年7月24日に報道発表いたしましたOCN IDサーバーへの外部からの不正アクセスについて、再発防止に向けた対策および、一部サービス仕様の見直しによる更なるセキュリティの強化を行いましたのでお知らせいたします。
1.不正アクセスの原因と対処について
メールアドレスを利用して各種WebサービスにログインできるOCN IDのサーバーにおいて、外部からの不正なアクセスにより、OCN ID用のメールアドレスと暗号化されたパスワードが流出した事象が発生しましたが、原因調査の結果、OCN IDサーバーで利用していたソフトウェアの脆弱性が原因であることを確認いたしました。本件に対し、以下の対処を実施いたしております。
(1)OCNで利用する全ての装置のアクセスログ解析、および、OCN IDに対する不正アクセスの侵入経路・攻撃手法について徹底的に分析いたしました。
その結果、既に公表させていただいている情報以外の、お客さまの情報流出がないことを確認いたしました。
(2)不正アクセスを受けたOCN IDサーバーについては、新たな装置により、OCN IDサーバーを再構築し、不正アクセ
スを受けた影響を完全に取り除いております。
(3)OCNで利用する全ての装置に対して、脆弱性の有無の調査を含めたセキュリティの総点検を行い、安全性を確認しております。
なお、現時点において流出したOCN IDおよび暗号化されたパスワードの不正利用等の被害の報告はありません。
2. 再発防止に向けたセキュリティ強化対策について
今回の事象を踏まえ、再発防止に向けて以下の対策を実施しております。
(1)不正アクセスの可能性がある通信をアプリケーションレベルでモニタリングし、不正アクセスを検知およびブロックする仕組みを導入します。
(2)(1)で監視の強化行っておりますが、お客さまの情報流出の恐れがある場合は、お客さまへの被害を防止することを最優先とし、サービスを部分的・一時的に停止することにいたします。
(3)重大な脆弱性情報が発見された場合、お客さまの情報を保護するための迅速な対応を行う体制の強化を行いました。
3. セキュリティ強化にむけたOCN IDの一部サービス仕様の見直しについて
お客さまに安全・安心にサービスをご利用いただくために、以下の一部サービス仕様の見直しによる更なるセキュリティ強化を実施いたします。
(1)OCN IDの2段階認証の導入について(2014年1月提供予定)※詳細は別途ご案内致します
従来のOCN ID、パスワードに加え、お客さまご自身のみが知り得る、一度きりご利用可能な暗証番号(以下、ワンタイムパスワード)を設定できる機能を提供いたします。ワンタイムパスワードはお客さまがあらかじめ設定いただいたメールアドレスに、OCN IDログイン時にパスワードを送付させていただく仕組みになります。
お客さまに送付されるワンタイムパスワードは、一度きりのご利用であり、複雑な乱数により生成されているため、お客さま以外の第三者が類推しにくく、セキュリティレベルの向上がはかれます。
(2)OCN IDのパスワード文字数拡張について(2013年10月31日提供済)
OCN IDのパスワードを最大32文字まで設定できるようにいたしました。
【変更前】6文字以上8文字以内 ⇒ 【変更後】6文字以上32文字以内
パスワードを最大の32文字に設定すると、第三者がパスワード総当たり攻撃により解読できる確率が、従来に比べて約200載倍(載:1兆の1兆倍の1兆倍)困難となり、より安全性を高めることができます。
なお、ご利用可能な文字など、その他のパスワードルールに変更はございません。
引き続き定期的なパスワードの変更をしていただきますようご協力お願いいたします。
OCN IDでは、お客さま以外の第三者による不正なログインがないかどうかを、お客さまご自身で確認する機能を提供させていただいておりますの であわせてご活用ください。
OCN IDログイン設定機能
-ログイン履歴 …ログインした履歴[日時・状態・アクセス元のIPアドレス]を表示する機能になります。お客さまが身に覚えのない利用履歴がないかどうかをご確認いただけます。
-ログインアラート …ログインに成功した際に、ログイン日時などをメールでお知らせする機能になります。
お客さま以外の第三者によって不正に利用されていないのかをメールでご確認いただけます。
この度は、お客さまに多大なご迷惑をおかけすることになりましたことを、深くお詫び申し上げます。
今回の事象を厳粛に受け止め、今後とも再発防止に努めてまいりますので、何卒ご理解を承りますようお願い申し上げます。