アンケートモニターサイト「D style web」は2025年12月24日、悪意ある第三者がユーザーのメールアカウントを乗っ取り、そのメールアドレスを悪用してD style webへ不正ログインし、不正なポイント交換申請が発生した個別事象を確認したと発表しました。特に、特定のプロバイダ(現時点ではOCNのみ)のメールアドレス利用者で、メールアカウント自体の乗っ取り被害が報告されているとしています。
目次
概要
D style webの説明では、本件はD style web側のシステムに対する不正アクセスではなく、同社サーバーから情報が漏えいしたものでもないとしています。ユーザー側のメールアカウントが第三者に操作可能な状態(メール送受信や、他サイトのパスワード再発行通知の閲覧が可能な状態)になっていたことを悪用され、D style webへの不正ログインやポイント交換申請につながった可能性が高いとしています。
原因
同社は、原因を「D style webの侵害」ではなく、ユーザーのメールアカウント乗っ取りに起因するものと位置づけています。
メールアカウントが乗っ取られると、メールの閲覧を通じて各種サービスのパスワード再発行手続きを乗っ取られる恐れがあり、複数サービスへ被害が波及し得る点がリスクが分かります。
想定される「メールアカウント乗っ取り」に使われたサイバー攻撃の種類
本リリースでは、メールアカウントがどの手口で乗っ取られたかまでは明示されていません。そのため断定は避けつつ、実務上よくある「想定されるサイバー攻撃の手口」を整理します。今回のようにメールを第三者が閲覧できる状態が成立する代表例は次のとおりです。
アカウントリスト型攻撃(Credential Stuffing)
他サービスから流出したID・パスワードの組み合わせを使い回し、メールアカウントへ大量にログインを試行する手口です。パスワードを使い回している場合に成立しやすく、特定プロバイダで被害が偏るケースもあります。
フィッシング(偽ログインページ誘導)
プロバイダやWebメールを装った偽サイトへ誘導し、ID・パスワードや認証コードを入力させて奪う手口です。年末年始は配送通知・請求通知などの偽装が増えるため、タイミング的にも警戒が必要です。
マルウェア(インフォスティーラー等)による認証情報窃取
端末がマルウェアに感染し、ブラウザ保存パスワード、Cookie、メールソフトの設定情報などが窃取されるパターンです。メールに限らず複数サービスが連鎖的に突破される場合に疑われます。
メールの転送設定・ルール改ざん(受信内容の盗み見)
メールボックスに侵入された後、攻撃者が転送設定やフィルタルールを追加し、パスワード再発行メールや二段階認証メールを外部へ転送する手口です。被害者が気づきにくいのが特徴です。
IMAP/SMTPの不正利用(メールクライアント経由の持続的アクセス)
Webメールだけでなく、IMAP/SMTP設定が悪用されると、継続的にメール閲覧・送受信が可能になります。サービスによってはIMAPアクセスが可視化されにくく、調査が難しくなることがあります。
※上記はあくまで想定される代表例であり、今回の件がどれに該当するかは、リリース情報だけでは確定できません。
影響と対応:一部デジタルギフトの交換申請を停止
D style webは、次のデジタルギフトについて交換申請を一時停止するとしています。
停止期間
-
安全確認が取れるまで(期限は明示せず)
交換申請を停止する商品
-
Amazonギフトカード
-
Apple Gift Card
-
Google Play ギフトコード
利用者へのお願い:メールアカウントのパスワード変更を最優先
同社は、被害防止のために次の対応を強く推奨しています。
-
メールアカウントのパスワード変更(第三者がメールを閲覧できない状態にする)
-
各サービスでパスワードの使い回しをしない
-
二段階認証(多要素認証)の利用を検討する
関連記事
サイバー攻撃とは? 種類・目的・企業への影響と対策を2026年最新データで解説
北朝鮮のハッカー集団 Lazarus(ラザルス)とは?攻撃手法や日本での被害実例
サイバー攻撃の事例を解説
DDoS攻撃とは?攻撃事例や防御策を解説
北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説
ゼロトラストとは?概念や今までのセキュリティとの違いを解説
パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告
日本リウマチ学会、J-STARサイトでの不正アクセスを公表-会員にパスワード変更を呼びかけ
TeamViewerがWindows クライアントの権限昇格の脆弱性を修正(CVE-2025-0065)
