大手のポータルサイトやECサイトで相次いでなりすましの不正ログインが相次いでいます。不正だと判明するのは、同じアクセス元から複数IDのログインが行われていたから、異常な数の試行(失敗含む)の動作があったからということで、あくまでも事後の状況証拠によるものです。
不正ログインが発生したサービス・システムはその多くがログインに使用するアカウントID(ユーザ名)が電子メールアドレスとなっています。IDとして電子メールアドレスを使用することは利用者に覚えやすさといったメリットがある一方で、使い分けをしにくいものであり、第三者に知られており他社のサービスでも共通して使いたくなるものです。
データベースシステムに不正侵入されて、IDと暗号化されたパスワードが盗まれてしまうと、時間をかけて計算すれば暗号化されたパスワードは復号されて悪用されてしまいます。きちんと事実を公表してパスワードを速やかに変更するようにアナウンスした会社はまだ対策しようがあるものの、不正侵入されてさらにその不正侵入に気づいていないようなずさんな運用をしているところだと、そのサービスと同じIDとパスワードを使用していると悪用されてしまいます。特に決済情報や決済機能があるサービスや電子メールサービスがついていて他のサービスからパスワード再発行を受信できるようなところだと危険性は高く、対処の遅れは信用や経済的な被害も大きくなります。
サービス側はパスワード一つで何でもかんでもできないように、二要素認証を認証を取り入れるようにするなど対策を考えるべきです。