ニフティに不正ログイン、会員情報閲覧の可能性 27
ストーリー by headless
閲覧 部門より
閲覧 部門より
あるAnonymous Coward のタレこみによれば、@nitfyの会員向け「お客様情報一覧」ページへの不正ログインが発生し、少なくとも21,184IDの会員情報が閲覧された可能性があるとのこと(ニュースリリース、
お客様情報一覧の不正なログインの発生について)。
不正ログインは特定のIPアドレスから7月14日~16日にかけて発生。何らかの手段で入手されたIDとパスワードを用いて行われたと考えられ、ウイルスやフィッシング、特定アプリの脆弱性などが原因となった可能性もあるとのこと。ニフティでは該当IPアドレスからのアクセスを遮断し、不正ログインをされた可能性のあるユーザーにメールで連絡したほか、対象IDの確認ツールを公開している。
閲覧された可能性のある会員情報は「氏名」「住所」「電話番号」「生年月日」「性別」「秘密の質問と回答」「ご契約状況」「ご利用料金」「メールアドレス」など。クレジットカード情報は一部がマスキングされているため、決済には利用できないという。また、現時点では会員情報の改ざんや有料サービスの不正利用などは確認されていないが、引き続き調査を行うとしている。
不正ログインは特定のIPアドレスから7月14日~16日にかけて発生。何らかの手段で入手されたIDとパスワードを用いて行われたと考えられ、ウイルスやフィッシング、特定アプリの脆弱性などが原因となった可能性もあるとのこと。ニフティでは該当IPアドレスからのアクセスを遮断し、不正ログインをされた可能性のあるユーザーにメールで連絡したほか、対象IDの確認ツールを公開している。
閲覧された可能性のある会員情報は「氏名」「住所」「電話番号」「生年月日」「性別」「秘密の質問と回答」「ご契約状況」「ご利用料金」「メールアドレス」など。クレジットカード情報は一部がマスキングされているため、決済には利用できないという。また、現時点では会員情報の改ざんや有料サービスの不正利用などは確認されていないが、引き続き調査を行うとしている。
「該当IPアドレス」 (スコア:2)
何個くらいのIPアドレスを使っているんでしょうね。
さすがに全ID別のIPアドレスを使っているとは思えないのですが、短期間にいくつものIDにログインを試みるIPアドレスはアクセス拒否にできないものでしょうか。
Re: (スコア:0)
カジュアルな感じで試す輩には、ある程度効果はあるとは思います。
ただ、ビジネスでやっているような連中は匿名プロキシを通したり、時間を空けてアクセスしたりとかやっているはず。
結局いたちごっこになるかもしれません。
Re: (スコア:0)
例えば、余りよく知らない一般プロバイダからのアクセスの場合、
その下にぶら下がってるユーザ数がわからなかったりしますよね?
その場合に
・そのIPを遮断した場合に他のユーザにどのくらい影響が出るのか?
・そのIPを遮断した場合に、該当ユーザが回線再接続することで、他のIPに変わってしまわないだろうか?
ということを考えると、一般的にはやりにくいです。
2chぐらいにプロバイダごと遮断とかできるならいいですけど。
これはやばい (スコア:1)
>」「秘密の質問と回答」
Re:これはやばい (スコア:2, おもしろおかしい)
質問「はじめてデートに行った場所は?」
回答「ありません」
Re:これはやばい (スコア:1)
質問「休日の過ごし方は?」
回答「仕事」
Re: (スコア:0)
俺ならこのワードで突破する
回答「しにたい」
Re: (スコア:0)
模範解答例
回答「まだあわてるような時間じゃない」
Re: (スコア:0)
認証の強度を弱める質問じゃないか……
過剰に共有されることによるリスク (スコア:1)
ここ数年でクラウド型のアプリケーションが増えてきたせいもあって、ネットワーク上で管理する情報が増えてきたように思います。
最近増えつつある問題は、「過剰に共有されること」だと考えています。基本的に、価値あるものを金庫以外に晒しておくなということですが、その判断は個人の判断ではでなく、サービス事業者によって決定されてしまうケースも増えていそうです(マイナンバーとかどうなるんだろ?)。
また、管理するIDとパスワードが増えてくると、別のサイトでも同じパスワードを流用するケースが増えてくる。これにより、OpenID的なものを利用して利便性を上げる一方で、一つの認証が突破されることで多くの情報がネットワークに流れてしまう問題が発生しやすくなる。認証が突破されるリスクはあるという前提だと、複数のサービスでIDとパスワードを別管理にした方が安全であるといえます。ただ、利便性と共存するというのは難しいですね。
もしかすると、クレジットカードみたいに不正利用された部分は保険で払うとか、認証システム外で対処を考えておくのが落としどころなのではないでしょうか。
NAVERもやらかしてたし (スコア:0)
最近マジで多いな。
やっぱりどっかから流出したパスワードを片っ端から試してるのか?
Re: (スコア:0)
NAVERはパスワードハッシュへのアクセスもあったんだからちがうだろ
Re: (スコア:0)
最近というかむしろIDやPWを使い回してる人間がどれほど多いのか
ってのが問題と思うが
Re:NAVERもやらかしてたし (スコア:1)
逆にサービスごとにパスワードを変えてたら、いきなりサービスが統合されて、ユーザー名同じだけどアカウント統合できないから諦めてくれとか言われた俺はどうなる
Re:NAVERもやらかしてたし (スコア:1)
後学のため、なんのサービスでそういう統合処理を行ってたか教えていただけませんか?
両方のパスワードを聞けば(そして、正しく答えられたら)本人、という判断でよさそうなものですが。
そもそも、Salted Hash なら、パスワード入力されるまで同じかどうかわからないですよね。
Re:NAVERもやらかしてたし (スコア:1)
まぁ使いまわす気持ちはわかる
「パスワード疲れ」に苦しむネットユーザー 国際ニュース : AFPBB News [afpbb.com]
21: オセロット(神奈川県) 2013/06/29 17:12:48 ID:8Iybr5Yj0
PASSWDに記号使えないサイトとか,、
文字数の上限が低いところとか死ねばいいのにと思う
28: トンキニーズ(埼玉県) 2013/06/29 17:16:53 ID:t7wontkv0
>>21
ポリシーが少しずつ違うのがむかつくよな。
・文字種に制限なし、全部使えます
・大文字、小文字、記号、数字のうち3つを使ってください
・一部の記号は使えません
・アルファベットと数字しか使えません
・アルファベットのみで数字は使えません
・必ず8文字以上にしてください
・9文字以上は使えません
・必ず12文字以上にしてください
・一ヶ月ごとに変更してください
・三ヶ月ごとに変更してください
・変更前の10個は再利用できません
ほこ×たてかよ、ってくらい、ありえないバトルが起きてる。
Re: (スコア:0)
「人気のパスワード」みたいな奴の集計をとるたびに「1234」がトップになるくらいだからお察しとしか
Re: (スコア:0)
某ネットゲームではかなり前からパスワード漏れ漏れで不正ログインが後を絶たず、最近はことあるごとにパスワード変更を強制してますが元を絶ってない段階で何度パスワード変更したところで…
秘密の質問と回答 (スコア:0)
まさかニフティともあろう老舗が、秘密の質問に対する回答を平文で持ってたんだろうか?
まあそれを言ったら、ニフティともあろう老舗が秘密の質問方式を使ってたなんてということになるが。
Re:秘密の質問と回答 (スコア:1)
『「お客様情報一覧」ページ』が閲覧できちゃってるから、復号化後のテキストが見えちゃってるんだよね。
Re: (スコア:0)
# Niftyがどうかはしらない。
Re:秘密の質問と回答 (スコア:1)
だけど平文で漏洩させたとなると、よそのサービスの突破に使われかねません。
パスワードと違ってパターンも少ない(一般の人の場合、恐らく正直に回答している)ので、危険度は比べ物にならないのではないでしょうか。
秘密の質問を採用しているこの世のすべてのサービスが、登録メールアドレスにパスワード上書きするURLを送ってきてくれるだけのものであればいいんですが……
さらには、親の旧姓や初恋の人の名前や初めて買ったCDなど、セキュリティ面のみならずプライバシー上の問題を引き起こしかねない内容が多いことにも注意が必要だと思います。
特定のIPアドレス (スコア:0)
Re: (スコア:0)
どうせいつも通りチャイナテレコムなんだろ
Re: (スコア:0)
何年か前に、フィッシングのログインページが何度か作られたことがあったのを思い出した。
当時は中にいて、ログ舐めたりいろいろ対策打ったりしたのも思い出した。
あれも中国だったな。
Re: (スコア:0)
ISPの中の者です。
不正アタックのIPアドレスは中国のほかロシア、ウクライナ、米国、英国なんかがが多い印象。
当然詐称の可能性も高いので話半分だけど。
Re: (スコア:0)
ウクライナも多いんですか。
ブログでスパム対策でスパム投稿してきたIPをブロック(大半が中国)すると米国IPから同じスパムが飛んできたりしますね。偽装なんだろうけど。