フレッツ光の会員サイト、不正ログインを受けて全アカウント約404万件をロック 45
ストーリー by headless
凍結 部門より
凍結 部門より
superito のタレこみより。フレッツ光の会員制プログラム「フレッツ光メンバーズクラブ」の会員サイトに大量の不正アクセスがあり、不正ログインが確認されたことから、NTT東日本はすべてのアカウントをロックしてユーザーにパスワード再設定を要請している(不正アクセスへの対応等について、
ログインロック解除方法、
パスワードの再設定のお願い、
INTERNET Watchの記事)。
フレッツ光メンバーズクラブの会員サイトでは4日にも大量の不正アクセスがあり、ログイン規制を行っていた。9日からログイン機能を再開したところ、再度複数のIPアドレスから約24,000件の不正アクセスがあり、77件が不正ログインに成功していたという。これを受けてNTT東日本では再度ログイン機能を停止し、11日までに全アカウント約404万件のログインロックを実施した。会員サイトを利用するには、パスワードの初期化が必要となる。
フレッツ光メンバーズクラブの会員サイトでは4日にも大量の不正アクセスがあり、ログイン規制を行っていた。9日からログイン機能を再開したところ、再度複数のIPアドレスから約24,000件の不正アクセスがあり、77件が不正ログインに成功していたという。これを受けてNTT東日本では再度ログイン機能を停止し、11日までに全アカウント約404万件のログインロックを実施した。会員サイトを利用するには、パスワードの初期化が必要となる。
西の方は? (スコア:2)
会員IDのほか、登録しているメールアドレスと生年月日の入力が必要 (スコア:1)
フィッシングでメールアドレスと生年月日の組みをゲットできる大チャーンスというわけか。
# マジな話パスワード再設定を促す系の告知ってどうすりゃいいの?
Re:会員IDのほか、登録しているメールアドレスと生年月日の入力が必要 (スコア:5, 興味深い)
お手紙を送るとかどうだろう。
初期化パスワードは勝手に決められますが……… (スコア:1)
元のパスワードに戻せるので元の木阿弥です(・3・)あるぇ~?
Re:初期化パスワードは勝手に決められますが……… (スコア:2, すばらしい洞察)
それ以前に、いいかげん「英数字のみで10文字まで」って何とかしてほしい……
Re:初期化パスワードは勝手に決められますが……… (スコア:1)
文字数を妙に短く制限するところ、記号を使わせないところって多いけど、どうしてなの?
ウェブアプリのログイン認証において、プログラム上、制限を設けて楽になることって何なのでしょう。思いつかないのですが。
Re:初期化パスワードは勝手に決められますが……… (スコア:2, 参考になる)
記号を使わせないのは、(誤った)サニタイズ [takagi-hiromitsu.jp]によるものではないかな。
Re: (スコア:0)
単純にパスワードは付箋に書いて貼り付けておくものではなく、
記憶することが前提だからではないでしょうか。
記号の方が覚えやすい例もある。たしかに。
おそらく流行するのは顔文字を使ったパスワードの横行が予測できます。
顔文字アタックの脆弱性を突かれた馬鹿ニュースの題材になると・・・
開発する側は普通そこまでは想定するのでは?
# 因果理由が無いものなんてありません
Re:初期化パスワードは勝手に決められますが……… (スコア:1)
昔おバカなプログラマが SQL インジェクション可能な脆弱性を作っていたころの名残かもしれませんね。
「怒れるサル」と同様な現象かもしれず。
Re:初期化パスワードは勝手に決められますが……… (スコア:1)
# 記号や英語がパスワードボックスに入力しにくい
Re: (スコア:0)
入力しにくいのは理解出来ますが、だからといって使用制限するのはどうかと思いますね。
めんどうくさいから英数だけで、というのはユーザーが自分で決めればいいだけですし。
# 逆に最近、セキュリティ意識の高い(?)ウェブサービスだと、パスワードは何文字以上、英数記号をすべてまぜろ、と強制してくるところもある。
Re: (スコア:0)
その両者が混ざると同じ生成アルゴリズムでパスワードを作れないのでマジめんどくさい
Re: (スコア:0)
きっとそう。
中途半端に頭のいい人が仕様に関わってるから。
「パスワードで許容する文字の種類について定義してください」と、
「なんで記号が存在するんですか?理由を述べてください」のコンボ。
返答が面倒な下請け会社は、最初から記号を含めないのではないかと妄想しました。
Re: (スコア:0)
使用可能な記号を羅列するのも面倒だからねぇ。
と思ったが、使用不可にしないとまずい記号ってあったかな。
なんか盲点があるような気がして不安になってきた。
という思考を経て「制限したほうが楽だわ」になります。
Re:初期化パスワードは勝手に決められますが……… (スコア:2)
仕様不可にしないとまずいってわけじゃないけど、
パスワードに記号使ってて101キーボードに換わったときに困ったことはある。
#ユーザ名は固定でパスワード欄しか入力項目がないシステムにて
Re: (スコア:0)
# 内容が内容なんでAC
それがあるんで自分は101と106で共通になる記号しか使わないようにしてます。
Re:初期化パスワードは勝手に決められますが……… (スコア:2)
「使用不可にしなければならない記号」はないけど、エスケープに失敗したり、
検証を間違えたりすると、どこで下らんバグが発生するか分からんから、
可能な限り記号は入れないことにしてる。動作確認もそんだけ面倒になるし。
ただでさえ人手も開発費も足らんとゆーのに。そんな所に無駄な工数かけられない。
>ウェブアプリのログイン認証において、プログラム上、制限を設けて楽になることって何なのでしょう。思いつかないのですが。
記号を減らすのは重要。
記号を入れるのはセキュリティ上でもユーザビリティでも必要性はない。
文字数は減らしても増やしてもそんなに影響は無い。(数百文字とか言われたら別だけど)
だから
- 記号は除去。
- 文字はアルファベット大文字/小文字と数字
- 文字数は20~30文字
にするのが多かったな。
Re: (スコア:0)
記号の有無で辞書攻撃の成功率は桁違いに変わると思いますが・・・。
ユーザビリティも変わります。カナ打ちなので、ローマ字入力状態でカナ入力って手を使うのですが、“,”、“.”、“;”、“:”、“]”、“-”など、
いくつかの記号が引っかかります。
ユーザビリティに必要ないと決めつけるのはどうかと思います。
Re: (スコア:0)
> 記号の有無で辞書攻撃の成功率は桁違いに変わると思いますが・・・。
迷信でしょ。
根拠も無く、こういうこと言う人が多すぎて困る。
Re:初期化パスワードは勝手に決められますが……… (スコア:1)
内部でやりとりする経路(フロントエンドからバックエンドDBまで)でのエスケープとかは、まあ気にはなりますよね。
# それで制限していいかは別なんだけど。
まあ、英数+ASCIIの記号内がいいけど、英数だけでも15以上OKになってれば文句はいわんのだが
# 普段は14字ランダムを生成してる
M-FalconSky (暑いか寒い)
Re: (スコア:0)
羅列された記号を使ったらログインできなくなったことがあるので、「制限してくれたほうが楽だわ」になっています。
Re: (スコア:0)
うわ、分かる分かる。
#これやっちゃうと、かなり恥ずかしいんだわ。初歩的ミスといえば初歩的ミスなんだけどね。orz
どこかで処理を間違えてると、「特定の記号を使った時だけログインできない」みたいなことも
起こらないとは限らない。記号を入れなければ、どんな阿呆に作らせても(他のバグは出ても)
まずそういうバグは出ないので、記号を入れるのは可能な限り止めた方が良い。
その辺りのリスクも想定できずに、むやみやたらと記号を入れたがるのは、
プログラミングスキルの無い人の場合が圧倒的に多いと思う。
Re: (スコア:0)
そんなバグを入れる奴こそプログラミングスキルがないに決まってるのに何この逆切れ。しかも完全に開発者の論理。
Re: (スコア:0)
普通に考えて、パスワードはソルト付でハッシュ化するのが当たり前になってるので、
入力文字列はなんでもいいはずなんだけどね。もちろん、マルチバイトでも。文字コードは注意が必要だろうけど。
特に日本のお固い業界(銀行などの金融機関)が、文字種・文字数制限が多いイメージ。
一般の人が使用する率が高いからかな?
そう考えると、いまだに銀行のキャッシュカードのパスワードが数字4桁っていうのもね。
Re:初期化パスワードは勝手に決められますが……… (スコア:2)
普通に考えて、パスワードはソルト付でハッシュ化するのが当たり前
チャレンジ/レスポンス認証 [e-words.jp]方式の全否定ですね。
Re:初期化パスワードは勝手に決められますが……… (スコア:1)
設計の新しいチャレンジ/レスポンス認証方式、例えばHTTPのDigest認証などは「「「パスワードのハッシュ」+チャレンジ」のハッシュ」を比較するので、サーバ側に生のパスワードを持っておく必要はありません。
APOPみたいなサーバ側で生のパスワードを保持しなきゃならないような古くさいタイプのチャレンジ/レスポンス方式は、否定しちゃっても問題ないと思う。
Re: (スコア:0)
「パスワードハアンゴウカ」だけを意味もわからず呪文のごとく唱えまくった結果がごらんのありさま。
「サニタイズ」を呪文のように唱えまくった結果パスワードに意味不明な文字種制限がつきましたとさ、とまったく同じ構造の問題なのだが少しは応用力とか抽象化の能力とかないものだろうかね。
Cargo cult security (日本語にすると「鰯の頭セキュリティ?」)もいい加減にしてもらいたいもんだ
Re:初期化パスワードは勝手に決められますが……… (スコア:1)
私が普段使ってる銀行のネットログインパスワードが数字のみ4桁です。
デフォルトでソフトウェアキーボード使用を推奨されますが・・・
心配するところ、そこじゃないだろ?十八銀行!!!
キーロガーとか入ってないよ。。。
お願いですから英数記号で10文字以上にしてください。
#どこの会社だよ、こんなクソ仕様を提案したの
破られて困るパスワードほど文字制限がきついって法則でもあるのか? (スコア:1)
SMBCもだよorz
預金少な目にしたよ。
某ネットバンキング 数字4桁
某ネットショップ 英数字8桁
某ネットゲーム 英数字12桁
秘密のあのフォルダ 256bit AES
Re:破られて困るパスワードほど文字制限がきついって法則でもあるのか? (スコア:2, 参考になる)
SMBCはワンタイムパス無料にした [smbc.co.jp]のでそれ使えばいいのよ?
Re:破られて困るパスワードほど文字制限がきついって法則でもあるのか? (スコア:1)
知らなかった。
早速申込んだ。ありがと(^^)
そしてSMBCご免なさいm(__)m
Re: (スコア:0)
ハッシュするのが当たり前っていうけど、
某金融機関の仕様書には「暗号化する」って書いてあったんだが
Re: (スコア:0)
ほ、ほらきっと一方向暗号とかそういうのだから(震え声)
Re: (スコア:0)
そこで金融機関の名称を書いてくれないと避けられないじゃん。使えねーACだな
そうは言っても (スコア:1)
お前の口座より、自分の首の方が大事なんだ。
すまんな。犠牲になってくれ。
Re: (スコア:0)
>パスワードはソルト付でハッシュ化するのが当たり前
認証統合(AD LDAP shibboleth など)環境だと
そうもいかない場合がある
頭が痛い
Re: (スコア:0)
破られたところでせいぜいが
住所氏名等・ポイント・パスワードを勝手に代えて(一緒に登録メールアドレスも変更して)使えなくする
程度のアカウントをガチガチにされてもウザイだけだし……
過去の事件を調べてみた (スコア:1)
本物にくらべれば小さい小さい
>中国ネット掲示板大手・天涯社区 [kinbricksnow.com]から個人情報4000万件の流出が確認されたという。これで累計9000万件の個人情報が流出した計算となる。このままいけば、1億件もあっという間に超えそうだ。
>個人情報の流出件数はPSN [wikipedia.org]全利用者のおよそ7,700万人と言われている
>約450万人分ものYahoo! BB [wikipedia.org]登録者の個人情報が漏洩
NTTレゾナントの次はNTT東日本かいな (スコア:0)
脆弱なパスワードを許容してたツケ?
Re: (スコア:0)
脆弱で思い出しましたが、外為どっとこむの外貨ネクストのパスワードは………外貨ネクストネオに口座移動しようと思ってゴニョゴニョやっていたら、旧パスワードは一文字でオッケーと言うのを見て「FXなんて金が絡むサービスで一文字って………エエエエエエエエエェェェェェェ(゚Д゚)ェェェェェェエエエエエエエエエ」って感じでした。
※パスワード一文字って意外すぎてかえって安全かもしれないww
Re: (スコア:0)
ブルートフォースで即死では…と思うものの、攻撃側はちゃんと設定可能文字数・文字種をチェックして設定するもんだろうか。
しない攻撃者にとっては、ありえなさすぎて安全なんだろうかw
Re: (スコア:0)
他サービスで使っていたパスワードを許容しないなんて、どんな魔法ですか。
パスワードをお知らせする メールの配信が遅延しております。 (スコア:0)
初期化の申請をしてから6時間経過
パスワードのメールが届きしだい、その変更作業をしようと待ち構えていたのですが、
いまだにメールは送られてきません
処理が追いつかないのなら、パスワード初期化を一時中断するなりして欲しい
これほど腐った対応なのか、NTT
Re:パスワードをお知らせする メールの配信が遅延しております。 (スコア:1)
ちなみに30分ほど前にやったらものの1分もしないうちにメイルが届きました。
今は遅延が解消しているみたいですね。もうこんな時間だからかな。
Re: (スコア:0)
4/14の朝に初期化をやったら、メールが来るまでに8時間掛かりました。