【注意喚起】毎日新聞デジタルで不正ログイン被害 － パスワードリスト攻撃の可能性も

2025年7月11日、毎日新聞社が運営するニュースサイト「毎日新聞デジタル」で、第三者による不正ログインの試みが確認されました。短期間で約2万件のIDが使われたこの攻撃は、外部で流出したIDとパスワードの組み合わせを悪用する「パスワードリスト攻撃」の疑いがあります。

■ 何が起きたのか？

• 攻撃期間：2025年7月8日～10日の3日間

• 試行件数：約2万件のログイン試行が確認

• 実害：一部のアカウントに対して不正ログインが成功

• 原因：他サイト等で流出したID・パスワードを利用したと見られる

なお、被害対象の個人情報ページ（住所や支払い情報など）へのアクセスは確認されておらず、現時点での個人情報流出の可能性は低いと発表されています。

クレジットカード情報は別システムで管理されており、影響はありません。

■ 「パスワードリスト攻撃」とは？

パスワードリスト攻撃とは、他のWebサービス等で流出したID・パスワードを使い回して、別のサービスにログインを試みる攻撃手法です。

今回も、毎日新聞デジタルのシステム自体からIDやパスワードが流出した形跡はなく、外部からの使い回しによる攻撃とみられています。

■ 今すぐできる対策

社員や取引先が複数のWebサービスを利用するなか、「ID・パスワードの使い回し」は非常に大きなリスクです。

今回の事案から学ぶべき対策は以下のとおりです：

1. パスワードの使い回しを禁止する

同じパスワードを複数サイトで使わないルールを社内に徹底しましょう。

2. パスワード管理ツールの導入

社員が安全にパスワードを管理できるよう、パスワードマネージャー（例：1Password、Bitwarden等）の導入を検討しましょう。

3. 二要素認証（2FA）の活用

ログイン時にSMSやアプリでの追加認証を要求する仕組みを採用することで、不正アクセスのリスクを大幅に減らせます。

4. 定期的なアカウントの棚卸とパスワード変更

最低でも年1回の棚卸しと、重要システムのパスワード変更を推奨します。

<参照情報>

https://mainichi.jp/articles/20250711/mog/00m/040/001000d