hreatpostは11月23日(米国時間)、「Spotify Users Hit with Rash of Account Takeovers|Threatpost」において、音楽ストリーミングサービス「Spotify」からアカウントデータが流出したと伝えた。Spotifyは既にパスワードのローリングリセットを開始しており、流出したと見られるパスワードは利用できなくなっている。しかし、Spotify以外のサービスでこのデータが攻撃に使われる危険性があるとされており注意が必要。

今回のSpotifyの事例のように、アカウントデータの流出が確認された場合はサービスを提供しているベンダーによって強制的にパスワードのリセットが行われることが多い。ユーザーには電子メールなどを通じてアカウントのパスワードがリセットされたことが通知され、ユーザーはメールに記載されている手順に従ってパスワードの再設定を行うことになる。

ここで注意が必要だ。同じアカウント(電子メールアドレス)とパスワードをほかのサービスで使っている場合、流出したアカウントデータを使って別のサービスの方で不正侵入が行われる可能性がある。

今回のケースでは、たとえSpotifyのパスワードを変更したとしても、他のサービスで同じパスワードを使っているのであれば、そちらのサービスで不正侵入が行われる危険性がある。パスワードはサービスごとにユニークであることが推奨されており、同じパスワードの使い回しはリスクを伴うため注意が必要。