任天堂が約16万件の「ニンテンドーネットワークID」が不正ログイン被害にあったと発表、Wii U/ニンテンドー 3DS時代からオンラインサービスを利用しているユーザーは注意

任天堂が2020年4月上旬頃から「ニンテンドーネットワークID」に対して不正ログインが行われていたことを発表しました。任天堂によると不正ログインに使用されたログインIDおよびパスワードは「何らかの手段で弊社サービス以外から不正に入手した」ものだそうで、被害を受けた可能性のあるアカウントの数は「約16万」です。

「ニンテンドーネットワークID」に対する不正ログイン発生のご報告と「ニンテンドーアカウント」を安全にご利用いただくためのお願い｜サポート情報｜Nintendo
https://www.nintendo.co.jp/support/information/2020/0424.html

任天堂のゲーム機であるNintendo Switchや、公式オンラインストアのマイニンテンドーストアを利用するにはニンテンドーアカウントが必要となります。Nintendo Switchから任天堂のオンラインサービスを利用し始めたというユーザーは、このニンテンドーアカウントを作成しているケースが多いものの、Wii Uやニンテンドー3DSといったゲーム機で任天堂のオンラインサービスを利用していたユーザーは、「ニンテンドーネットワークID」を利用しているケースも多々あるはず。

ニンテンドーアカウントはニンテンドーネットワークIDと連携することが可能なため、ニンテンドーアカウントを新しく作り直すことなくニンテンドーネットワークIDでNintendo Switchの各種サービスを利用しているユーザーも多いはずで、今回の不正ログインはそういったユーザーを対象とした攻撃とみられます。

なお、2020年4月21日の時点で複数の海外メディアが「ニンエンドーアカウントで不正ログイン被害が報告されている」と報じていました。

Nintendo Switchに必須の「ニンテンドーアカウント」で不正ログイン被害が続発、任天堂は二段階認証を有効にすることを公式に推奨 - GIGAZINE

不正ログイン被害を受けた可能性のあるニンテンドーネットワークIDアカウントの件数は約16万件で、第三者に閲覧された可能性のある情報はアカウント情報のうちニックネーム・生年月日・国/地域・メールアドレスだそうです。加えて、ニンテンドーネットワークIDとニンテンドーアカウントが連携されている場合、ニンテンドーアカウントに登録されているおなまえ・生年月日・性別・国/地域・メールアドレスも第三者に閲覧された可能性があります。

不正ログインを検知した任天堂は、2020年4月24日付けでニンテンドーネットワークID経由でニンテンドーアカウントにログインする機能を廃止しました。また、不正ログインされた可能性のあるニンテンドーネットワークIDやニンテンドーアカウントに対しては、順次パスワードをリセットしていくとしています。

記事作成時点でニンテンドーアカウントのログイン画面にはニンテンドーネットワークID経由でのログイン方法が消えていました。

さらに、任天堂はユーザーに対してパスワードがリセットされたニンテンドーネットワークIDやニンテンドーアカウントにはメールで通知すること、さらに次回使用時にパスワードを再設定することを推奨しています。加えて、「すでに他のサービス等でお使いのパスワードの使いまわしは避けていただきますようお願いいたします」として、パスワードの使いまわしを避けるよう促しています。

加えて、ニンテンドーネットワークID経由でニンテンドーアカウントにログインしていたユーザーに対しては、「次回のログイン以降、ニンテンドーアカウントのメールアドレス/ログインIDでログインいただきますようお願いいたします」と通知しています。

ニンテンドーネットワークID経由でニンテンドーアカウントにログインしていたGIGAZINE編集部員が登録したメールアドレスを確認したところ、パスワードの使い回しを行っていなかったからか任天堂から不正ログインを通知するメールは届いていませんでした。ただし、ニンテンドーアカウントにニンテンドーネットワークIDのアカウント情報でログインすることもできず。なお、登録していたアカウント情報は健在だったため、ログイン画面の「パスワードを忘れた」からパスワード変更手続きを行うことで、問題なくニンテンドーアカウントにログインできるようになりました。

さらに、ニンテンドーアカウントのパスワードを再設定する場合にはニンテンドーネットワークIDと同一のパスワードを使用しないようにと任天堂は警告しています。同一のパスワードを利用した場合、「マイニンテンドーストアやニンテンドーeショップにて、残高および登録済みのクレジットカード・PayPalを不正に利用されてしまう恐れ」があるとのこと。

そして、不正ログインに関連してユーザーのニンテンドーアカウントに身に覚えのない購入履歴などがある場合は、「個別に調査を行った上で、購入の取消し等の対応を行わせていただきます」とのこと。なお、不正購入に対する措置については「順次手続きを進めますのでお待ちください」と記されています。

任天堂は不正ログインを防ぐために二段階認証の利用を推奨しています。