pixiv事務局です。
いつもpixivをご利用いただきありがとうございます。
pixivではセキュリティ強化のため、脆弱性や情報漏洩およびその危険性の発見に対して報償金プログラムを実施しています。
その活動の中で、不正に流通しているログイン情報リストのなかに、一部pixivアカウントのログイン情報が含まれているとの情報が寄せられました。
ただし、pixivのシステムにはパスワードの漏洩につながる脆弱性は発見されておらず、pixivから直接パスワード等のログイン情報が漏洩したわけではございません。
本件における正確な原因は特定できておりませんが、一般的には以下のような原因が考えられます。
・不正な処理を行うブラウザの拡張機能を利用した上でログインすることでの入力情報の漏洩
・公式サービスを装った偽のサイト、プロキシサイトにおいてログインすることでの入力情報の漏洩
・パスワードの使い回しと、使いまわしていたどこかのサービスからの情報漏洩
今回流通していた一部pixivアカウントのログイン情報については、現在でもパスワードが有効であるか確認したうえで、pixiv側にてパスワードリセットで対応しております。
流通していたログイン情報を利用したpixivへの不正ログインはできなくなりますので、ご安心ください。
■パスワードリセットの対象ユーザーにはメールを送付しています
対象ユーザーには2024年5月に「pixivアカウントパスワードリセットのお知らせ」というメールを送付しています。
上記メールを受け取った方は、過去にご自身で設定したパスワードではログインできませんので、パスワードの再設定をお願いいたします。
メールを受け取っていない方は本件の対象ではございませんが、今後の不正ログイン被害を防止するため、以降の情報をご一読いただければ幸いです。
pixivのセキュリティ強化のための調査は、今後も継続的に実施いたします。今回のようなpixivアカウントのログイン情報リストを発見した際には、該当アカウントへのパスワードリセットを順次行いますのでご了承ください。
本件に関するFAQ
■どうやってpixivアカウントのログイン情報はリスト化されて流通したのですか?
本件における正確な原因は特定できておりませんが、一般的には以下のような原因が考えられます。
・不正な処理を行うブラウザの拡張機能を利用した上でログインすることでの入力情報の漏洩
・公式サービスを装った偽のサイト、プロキシサイトにおいてログインすることでの入力情報の漏洩
・パスワードの使い回しと、使いまわしていたどこかのサービスからの情報漏洩
■どのくらいの数のpixivアカウントのログイン情報が流通していたのですか?
・流通していたリスト内のpixivアカウント数:57205
・上記のうち、実際に利用されているログイン情報と一致したためパスワードをリセットした数:41722
pixivでは情報提供を受けたログイン情報のパスワードが現在でも有効であるか、パスワード認証を行いました。パスワード認証に成功しなかったアカウントについては、そのパスワードを使用して不正にログインすることはできないためパスワードリセットを行なっておりません。
■なぜアカウントのログイン情報が流通していることを確認できたのですか?
pixivではセキュリティ強化を目的とし、脆弱性や情報漏洩およびその危険性の発見に対して報償金プログラムを実施しています。
この報償金プログラムにおいて、pixivアカウントのログイン情報のリストの流通に関する情報が寄せられました。
■なぜ実際に利用されているログイン情報であることがわかったのですか?
pixivで情報提供を受けたログイン情報リストのパスワードを使用し、パスワード認証に成功するかどうかを確認しました。
■pixivのセキュリティは安全ですか? (技術的な背景を知りたい)
pixivでは元の値を復元できないように、パスワードをソルト付きでハッシュ化して保存しています。
そのため、データベースに保存されているパスワードハッシュから実際のパスワードの値を知ることはできません。
一方、今回のリストには実際のパスワードの値がそのまま含まれていることから、pixivのデータベースからの直接流出ではなく、上でご説明したようなサービス外での情報漏洩であると推測されます。
pixivのシステムにはパスワードの漏洩につながる脆弱性は発見されておらず、pixivからパスワード等のログイン情報が漏洩したわけではございません。
不正ログイン被害防止のために
■自分のアカウントが不正ログインをされていないか調べるにはどうしたらいいですか?
ログイン履歴から最近のログインした日時やIPアドレスを確認できます。 身に覚えのないログイン履歴がないかご確認ください。
■不正ログインの被害に遭わないためにはどうしたらいいですか?
pixivや他サービスの利用の際に、以下のような基本的な対策の徹底をお願いいたします。
・複数のサービスでパスワードを使い回さない
・不審なブラウザ拡張機能を入れない
・サービスの公式サイト・公式アプリを利用する
・2段階認証を利用する
pixivで2段階認証を利用する方法は、こちらのヘルプをご確認ください。 本件について、ご不明点やご懸念などございましたら、下記のお問い合わせフォームよりご連絡ください。
今後ともpixivをよろしくお願いいたします。