任天堂は6月9日、4月下旬に公表した「ニンテンドーネットワークID」(NNID)に対する不正ログインへの調査を進めた結果、不正にアクセスされた可能性のあるNNIDが、追加で約14万アカウント存在していたことは判明したと発表しました。
4月発表時点の被害は約16万アカウントだったので、合計約30万件。不正アクセス被害の実態はほぼ2倍に上っていたことになります。
新たに判明した約14万件のNNIDおよび、それらと連携されていたニンテンドーアカウントに対してもパスワードリセットが行われ、対象ユーザーには別途連絡をしているとのこと。と同時に、追加のセキュリティー対策も施しているということです。
NNIDはWii Uとニンテンドー3DSのネットワークサービスを利用する際に必要となるIDです。Nintendo Switchでは新たにニンテンドーアカウントというシステムに変更されていますが、NNID所有者はNNIDをニンテンドーアカウントと連携させ、アカウントにログインすることができました。
不正ログインを受けて任天堂は、NNIDを経由してニンテンドーアカウントへログインする機能を廃止。不正ログインされた可能性があるNNIDやニンテンドーアカウントに対して、順次パスワードリセットを行っています。
不正ログイン被害にあったアカウントではNNIDに登録していたニックネームや生年月日、メールアドレスなどを閲覧された可能性があります。
またNNIDが連携されているニンテンドーアカウントについても、名前や生年月日、メールアドレスなどを閲覧された可能性があります。加えて、ニンテンドーアカウントを通じアカウントのチャージ残高や登録済支払情報を使ってマイニンテンドーストアやニンテンドーeショップで不正に注文が行われた可能性もあります。
任天堂によると不正ログインを受けた可能性のある世界中のNNIDのうち、ニンテンドーアカウントを通じて実際に不正な取引が行われた可能性が存在したものは全数の1%未満。対象となるユーザーに対しては、現在も各国で返金手続きを行っているとのこと。なお大半のユーザーに対しては既に返金処理を終えています。
任天堂は「お客様や関係者の皆様には、ご迷惑とご心配をおかけすることを、深くお詫び申し上げます」と謝罪した上で、対策としてより一層のセキュリティー強化と安全性の確保に努めていくとしています。
利用者側ができる対策
第三者による不正ログインを防ぐため、利用者側ができる対策もあります。
ひとつは他サービスで使っているユーザーID・パスワードの使い回しを避けること。使い回しをしていると万一ほかのサービスで情報漏えいが発生してID・パスワードが流出したときに、その情報を使ってニンテンドーアカウントに不正にログインされる可能性があります。
もう1つは二段階認証を利用すること。ニンテンドーアカウントにも、第三者による不正ログインを防ぐため、二段階認証の仕組みが用意されています。二段階認証を使うと、ログインのためにパスワード入力後、さらに6桁の認証コードの入力が必要になります。認証コードはスマホアプリ『Google Authenticator』(Androidの場合は『Google 認証システム』)に表示され、一定時間ごとに変更されます。
もしID・パスワードが漏えいしたとしても二段階認証の認証コードがわからなければログインできないため、第三者による不正ログイン防止に役立ちます。
この他にもニンテンドーアカウントでは、ログイン通知機能やログインした機器を確認できるログイン履歴を活用して不審なログインがないかを確認したり、ログインにメールアドレスを使わずログインIDのみにすることで不正ログインを防ぎやすくするといった対策があります。