1月17日から22日にかけ、Huluへの不正アクセスが継続して発生しました。

利用者のアカウントへの不正なログイン操作が行われた事案で、他社のサービスで過去に漏えいしたIDとパスワードの組み合わせを用いてログインを試みる、パスワードリスト攻撃が行われたようです。

対象アカウントでの動画閲覧履歴やプロフィール等の個人情報が漏えいした可能性がありますが、クレジットカード情報等は該当していません。

　 ［重要］不正アクセス検知によるパスワード強制リセット実施のお知らせ（1/22更新）

 

リリースの冒頭部分に、「作成日時：4ヶ月前」とありますとおり、昨年の9月にもまったく同様の事案が発生していました。
 
　 Huluに不正ログイン296件 リスト型攻撃受け - ITmedia NEWS

 

このときは296件で、今回は888件の不正ログインがあったようです。

さらにさかのぼると、2022年7月にも同様の事案が発生していました。
このときは、最大で3,897件もの不正ログインが確認されています。

　 HJホールディングス株式会社 | Hulu「リスト型アカウントハッキング（リスト型攻撃）」による弊社サービスへの不正ログインの発生について

さらには、2020年9月にも．．．
 

　 Hulu「リスト型アカウントハッキング（リスト型攻撃）」による弊社サービスへの不正ログインの発生について

 

これからも、パスワードリスト型攻撃は続けられるに違いありません。

利用者がパスワードを使い回している限り、パスワードリスト型攻撃を防ぐことは難しいです。

　 【これを見れば分かる】パスワードリスト攻撃の仕組みから丁寧に解説 | 情報機動隊 Security For All CAPY
パスワードの使い回しをやめ、メールやSMS、アプリを用いたワンタイムパスワード等が提供されている場合には利用するように設定しましょう。

残念ながらHuluでは、新規登録時の確認コード（4文字）や視聴機器登録時のアクティベーションコード（5文字）の仕組みは提供されていますが、ログイン時はIDとパスワード（最低8文字）の組み合わせのみで、本人認証のセキュリティは弱めです。