2026年6月、転職サイト「女の転職type」のスマホアプリが不正アクセスを受け、最大 1万8,253人 の会員情報が第三者に閲覧された可能性があると、運営のキャリアデザインセンターが発表した。攻撃手法は、外部で入手した ID/パスワードのリストを片端から試す「リスト型攻撃」(クレデンシャル・スタッフィング)。漏えいパスワードの再利用問題が、また顕在化した。
なぜ自社が漏らしていなくても突破されるのか #
リスト型攻撃は、他社サービスから漏えいした認証情報の使い回しを利用する攻撃だ。攻撃者は数億件規模の流出リストを保有しており、自動化ツールで標的サイトに片端からログインを試行する。被害企業側のシステムは何も脆弱でない場合が多く、ユーザの「同じパスワードの使い回し」が唯一の脆弱性となる。
1. 他社流出リストの入手
過去のデータ侵害で流出した
ID:password 組を闇市場やコンボリストから調達。2. 自動化ツールで総当たり
OpenBullet や Sentry MBA 等で、プロキシ経由・低レート分散で標的サイトへ。
3. ヒットした会員情報を抜き出す
履歴書・職歴・連絡先など、転職サイト特有の機微情報が対象に。
転職サイトの場合、漏えいする情報は氏名・連絡先にとどまらない。職歴・年収・希望条件・顔写真まで含まれる場合があり、二次的な詐欺(偽求人・標的型フィッシング)の素材として極めて高値で取引される。
防御側がやるべき三段の備え #
リスト型は「正規の ID/パスワード」を使う以上、通常のログインと区別がつきにくいのが厄介な点だ。事業者側は次の三段で防ぐしかない。
| 対策 | 効果 | 導入難易度 |
|---|---|---|
| 多要素認証 (MFA) 必須化 | ○ パスワード単独突破を無効化 | 低 |
| 漏えいパスワード照合 (HIBP API 等) | ○ 再利用を登録時点で拒否 | 低 |
| IP・端末ベースのレート制限と異常検知 | 一部 低レート分散攻撃には限界 | 中 |
ユーザ側で今すぐできるのは一点だけ。サイトごとに違うパスワードを使うことだ。パスワードマネージャ(Bitwarden / 1Password 等)を導入し、漏えい確認サービス Have I Been Pwned で自分のメールアドレスを照合しておきたい。
転職サイトは「人生の節目」に使うサービスだ。流出した職歴情報は10年単位で攻撃者の手元に残る。今回の事案を、自分のパスワード衛生を見直す合図として受け取りたい。
COMMENTS 0
No comments yet — be the first to leave one.