スマホアプリにパスワードリスト攻撃|会員アプリが確認すべき不正ログイン対策

スマートフォンアプリを狙った不正ログインは、金融・決済サービスだけの問題ではありません。

2026年5月、キャリアデザインセンターは、同社が運営する転職サイト「女の転職type」のスマートフォンアプリで、リスト型攻撃によるものと推測される不正ログインを確認したと公表しました。不正ログイン試行は114万件超、そのうち3万8,442件で不正ログインが成立し、1万8,253名のユニークユーザーに影響が及んだとしています。

この事例は、モバイルアプリを提供する企業にとって重要な示唆があります。
それは、自社から認証情報が漏れていなくても、使い回しパスワードがあれば不正ログインが成立し得るという点です。

本記事では、この事例をもとに、会員アプリ運営企業が確認すべき不正ログイン対策を整理します。


何が起きたのか

キャリアデザインセンターによると、2026年5月26日から28日にかけて、外部から取得した情報を利用した「リスト型アカウントハッキング(リスト型攻撃)」によるものと推測される不正なログイン操作が行われました。不正ログイン試行回数は1,141,828件、不正ログインされたものは38,442件、ユニークユーザー数は18,253名で、ログイン後に一部の会員情報ページが閲覧されたおそれがあるとしています。

同社は、パスワードを復号できない形式(ハッシュ化)で保存しており、同社内からIDやパスワードが流出した事跡は確認されていないと説明しています。
また、発覚後は外部からのアクセス遮断、全会員の強制ログアウト、不正ログインが確認された会員のパスワード初期化と強制ログアウトを実施しています。

さらに6月19日の調査結果報告では、外部専門機関によるフォレンジック調査の結果、当初の社内調査との相違は認められず、現時点で個人情報流出の事跡や二次被害は確認されていないとしています。


パスワードリスト攻撃とは

パスワードリスト攻撃は、他サービスから流出したID・パスワードの組み合わせを使って、別のサービスへのログインを大量に試みる手口です。
IPAも、不正ログイン対策として、パスワードを長く複雑にし、使い回さないこと、さらに多要素認証の設定を推奨しています。

つまり、今回のような事案では、アプリ側のシステム侵害だけでなく、利用者の他サービスでの認証情報流出やパスワード使い回しが被害成立の背景になっている可能性があります。これは、会員アプリ運営企業にとって非常に重要な論点です。


なぜスマホアプリでも起きるのか

「リスト型攻撃」はWebサイトの問題と思われがちですが、今回のようにスマートフォンアプリも十分に標的になります。

アプリが狙われやすい理由としては、以下が挙げられます。

  • 利用者がログイン状態を維持しやすい
  • パスワードを使い回していても気づきにくい
  • アプリ経由の通知や自動入力でログインの敷居が低い
  • 会員情報やポイント、応募履歴、個人情報などが保存されている
  • ボットによる大量ログイン試行が見えにくい

特に会員制アプリでは、「金銭被害がないから優先度が低い」と考えるのは危険です。個人情報閲覧、ポイント不正利用、アカウント乗っ取り、企業ブランド毀損などのリスクがあります。


この事例で注目すべきポイント

1. 自社から漏れていなくても被害は起きる

今回の事案では、同社内からID・パスワードが流出した事跡は確認されていませんでした。
それでも不正ログインが成立したのは、他所で流出した認証情報が使い回されていた可能性を示しています。

これは、多くの会員サービスに共通するリスクです。

2. ログイン試行数が非常に多い

試行回数は114万件超でした。
この数字は、単発の人手攻撃ではなく、自動化された大量試行を強く示唆します。
つまり、単純なパスワード強度だけでなく、ボット対策・レート制限・異常検知が重要になります。

3. “ログインできた後”も問題になる

今回のケースでは、ログイン後に一部の会員情報ページが閲覧されたおそれがあるとされています。
不正ログイン対策は、「ログインさせない」だけでなく、ログイン後の挙動監視重要情報閲覧時の追加保護も必要です。


会員アプリ運営企業が確認すべき対策

1. 多要素認証を検討する

IPAは不正ログイン対策として、多要素認証の設定を推奨しています。
会員アプリでも、ログイン時または重要操作時に追加認証を求める設計を検討すべきです。

ただし、UX低下とのバランスもあるため、全操作一律ではなく、

  • 端末変更時
  • 初回端末からのログイン
  • パスワード変更時
  • 会員情報変更時
  • ポイント交換や重要手続き時

など、リスクの高い場面に絞って段階的に導入するのが現実的です。

2. ログイン試行の制御を強化する

今回のように大量の試行が行われる場合、以下のような制御が必要です。

  • レート制限
  • CAPTCHAやボット判定
  • IP・ASN・端末特性によるブロック
  • 異常なログイン頻度の監視
  • パスワード総当たりや同一パターン試行の検知

特に、モバイルAPIを狙った自動アクセスへの対策は重要です。

3. パスワード使い回し前提で設計する

理想は使い回しゼロですが、現実には難しいため、企業側は「一定数の使い回しが存在する前提」で防御を考える必要があります。
そのためには、

  • 漏えい済みパスワードとの照合
  • 弱いパスワードの禁止
  • パスワード変更時の強度チェック
  • 長く複雑で使い回さないパスワード利用の啓発

が重要です。IPAも、パスワードは長く複雑にし、使い回さないことを推奨しています。

4. ログイン後の不審挙動を監視する

今回の事案では、ログイン後に会員情報ページが閲覧されたおそれがありました。
つまり、守るべきなのはログイン画面だけではありません。

  • 会員情報閲覧の急増
  • 短時間でのプロフィール閲覧連続実行
  • 端末・地域変更直後の閲覧
  • 深夜帯の大量アクセス
  • 普段と異なる行動パターン

など、なりすまし後の異常行動を見る仕組みが必要です。

5. インシデント後の初動を整備する

今回、同社はアクセス遮断、全会員の強制ログアウト、影響アカウントのパスワード初期化を実施しました。
この初動は非常に重要です。

会員アプリ運営企業も、あらかじめ以下を決めておくべきです。

  • どの閾値で異常判定するか
  • アクセス遮断を誰が判断するか
  • 強制ログアウトの実施条件
  • パスワード初期化のフロー
  • 顧客通知テンプレート
  • 個人情報保護委員会等への報告体制

モバイル不正対策ラボの見解

この事例の本質は、スマホアプリも“認証の入口”として十分に狙われるということです。

しかも、今回は典型的な「自社の脆弱性」よりも、他所で漏れた認証情報の使い回しが前提にあると考えられます。
つまり、会員アプリの不正ログイン対策は、単なるパスワード管理ではなく、

  • 認証強化
  • ボット対策
  • 異常検知
  • ログイン後の行動監視
  • インシデント初動

まで含めて設計する必要があります。

また、今回の調査結果では、認証方式の強化検知ルールの拡充が再発防止策として挙げられています。
ここは、モバイル不正対策ラボとしても非常に重要なポイントです。


まとめ

「女の転職type」の事案は、スマホアプリに対するリスト型攻撃が、現実に大規模な不正ログインへつながることを示しました。

今回のポイントは以下です。

  • スマホアプリもリスト型攻撃の標的になる
  • 自社から認証情報が漏れていなくても被害は起こり得る
  • パスワード使い回しが被害成立の大きな要因になる
  • 多要素認証、試行制御、異常検知、ログイン後監視が重要
  • 初動対応の整備が被害拡大防止につながる

会員アプリを運営する企業では、「金融系ではないから大丈夫」と考えず、不正ログイン対策をアプリ全体のセキュリティ設計として見直すことが重要です。

参考情報

  • 株式会社キャリアデザインセンター「転職サイト『女の転職type』における不正アクセス発生によるお客様の個人情報流出の可能性のお知らせとお詫びについて」
  • 株式会社キャリアデザインセンター「転職サイト『女の転職type』における不正アクセス発生に関する調査結果のご報告」
  • IPA「不正ログイン対策特集ページ」

あわせて読みたい