ソニーポイントサービスに不正ログイン発生 31
ストーリー by headless
交換 部門より
交換 部門より
hig のタレこみより。ソニーマーケティングは2日、ソニーポイントサービスで不正ログインによる被害が発生していたことを発表した(ソニーポイントサービス不正ログインに関するお知らせとパスワード変更のお願い)。
発表によると、第三者のメールアドレスとパスワードを用いた不正アクセス試行が4月19日~29日に発生。ソニーポイントをプレイステーション ストアチケットやmora music card IDに交換される被害が発生したとのこと。不正な交換に使われた可能性のあるメールアドレスは273件。753,000ポイント(753,000円相当)が不正に交換された可能性があるという。同社では不正なアクセスを遮断し、監視体制を強化したほか、不正に利用された可能性のあるメールアドレスによるログインを遮断して会員にパスワードの変更を依頼しているとのこと。不正に交換されたポイントは後日返却される。なお、メールアドレスとパスワードを含め、同社からの個人情報漏洩は確認されていないとのことだ。
発表によると、第三者のメールアドレスとパスワードを用いた不正アクセス試行が4月19日~29日に発生。ソニーポイントをプレイステーション ストアチケットやmora music card IDに交換される被害が発生したとのこと。不正な交換に使われた可能性のあるメールアドレスは273件。753,000ポイント(753,000円相当)が不正に交換された可能性があるという。同社では不正なアクセスを遮断し、監視体制を強化したほか、不正に利用された可能性のあるメールアドレスによるログインを遮断して会員にパスワードの変更を依頼しているとのこと。不正に交換されたポイントは後日返却される。なお、メールアドレスとパスワードを含め、同社からの個人情報漏洩は確認されていないとのことだ。
IDにメールアドレス (スコア:2)
Re:IDにメールアドレス (スコア:3)
メールアドレスをIDにしているところ結構ありますよね。
ソニーはメールアドレスかMy Sony ID
Re: (スコア:0)
google「えっ」
amazon「えっ」
ID、パスワードとあとひとつ… (スコア:1)
こういう問題が起こるとすぐ「ID使い回す奴が悪い」って意見が出るけど、それは匿名文化に浸りきったネットジャンキーの発想であって、一般人が本名ベースのID使っちゃうのはどうしようもない。
で、いくら自サイトで対策打っても、漏洩したリストのほうに平文でパスワードが載ってたらこれまたどうしようもない。
これはもう、ユーザーが選んだIDの他に、サイト側から強制的にもうひとつユーザーが自由選択不可なID的なものを割り付けるしかないね。3桁程度でもリスト攻撃には十分対処できるはず。
Re: (スコア:0)
ネットリテラシー教育が行われてないからだな
Re: (スコア:0)
「ID使い回す奴が悪い」
IDを使いまわす奴が悪い、なんて誰も言ってないでしょ。
そもそもメールアドレスをそのままIDとして使うサイトも珍しくない。
Re: (スコア:0)
うん、使いまわすと悪いのはパスワードであって断固としてIDではない。
つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
そんな面倒なことをする必要はなく、たぶん一番確実で手っ取り早いのは、キーチェーン的なソフトがブラウザ or OSに標準搭載されて、各サイトがそれでログインできるようになること。
そうすれば、PCがクラックされない限り全サイトがリスト型攻撃に安全になる。
欠点はPCがクラックされると、全サイトが同時に攻略されること…まあ今だってロガーとか仕込まれたらそうなんだけど。
Re:ID、パスワードとあとひとつ… (スコア:1)
キーチェーン的なソフトがブラウザ or OSに標準搭載されて、
今時標準搭載されてない環境があるだろうか?
って思ったけどスマホがそうなんだっけ。
あと、欲しいのは標準でのパスワード生成機能な気がする。
それと、今回のも第三者サイトからの流出なのだろうか。
メールアドレスのリストを使ったリバースブルートフォースアタックの可能性とか、ロガーなどマルウェアにより収集されたリストが流通してる可能性とか。
Re:ID、パスワードとあとひとつ… (スコア:2)
Windows 環境に Mac OS X の Keychain 的なソフトって標準搭載されていましたっけ?
Web については、Firefox でなんとかなりますが。
Re: (スコア:0)
サーセン、自動でサイトごとに別々のパスワード生成してアカウント登録→ログインまでしてくれる機能ね。
と書いてから思ったけど、それって最近流行りのTwitterやらFacebookやら使ったOAuth認証でいい気がしてきた。
Re: (スコア:0)
よし、それじゃあ複数サイトで同じパスワードを付けられないように
パスワード横断管理システムみたいなのを作ろう
サイトAでパスワード「hoge」を設定→メアドとパスワードのハッシュを裏でパスワード横断管理システムに登録
サイトBでパスワード「hoge」を設定→パスワード横断管理システムに同じのがあるから不可
みたいな
#そしてそこが流出するというオチ
Re: (スコア:0)
つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
この笑い話のオチは、メインパスワードと補助パスワードのペアが全サイト共通というので良いの?
完全に狙い打ち (スコア:0)
他所で漏洩したIDとパスワードか?
使い回しはやめましょう。
Re:完全に狙い打ち (スコア:3)
> 全てのパスワードは最長3か月で更新、
これを出すと話が伸びる。
opensslの件と関係ありそう (スコア:0)
ソフトバンクでもあったみたいだし、
どこのサイトのが抜かれたんだろう?
Re: (スコア:0)
>ソフトバンクでもあったみたいだし、
>どこのサイトのが抜かれたんだろう
たぶんそこから
Re: (スコア:0)
正直、ソフトバンク自身が漏らしてそうってのは、思っちゃうよね。
ソニーやパナはいい (スコア:0)
以前、Vectorの購入リストが漏れたときは焦った。エロゲ購入履歴がばれてしまうではないか。
それ以降、Vectorは利用していないが、DMMやAmazonの購入履歴が漏れたら同様にヤバい。
ソニーやパナ製品の購入履歴はとりあえず問題ない。
パナのハンディマッサージャーは日立のそれと同様にその筋で有名だそうだが、そっちは興味ないし。
Re:ソニーやパナはいい (スコア:1)
犯罪じゃないんだし、堂々としてればいいんじゃあないか?
Re: (スコア:0)
ソニータイマー (スコア:0)
これに関して「定期的にパスワードを変更して下さい」というメールが来たんだけど
ソニーにはパスワードの有効期間がすぎると使えなくなるタイマーでもあるのだろうか?
Re: (スコア:0)
定期的に不正アクセスされるってことだよ言わせんな恥ずかしい
Re: (スコア:0)
ソニー銀行のログインパスワードは8桁以内となってるので、三カ月毎に「パスワードを変更してください」ってでるよ。
まあ主要な操作には合言葉やら5桁の取引暗証番号を入力する手間がかかるのでダダ甘という訳じゃないけど、パスワードの桁数を増やせよと思う。
最近になってトークンによるワンタイムパスワードが導入されたが、ネット銀行、証券ごとにトークンが配られる未来を考えたら憂鬱になる。
Re:ソニータイマー (スコア:1)
>ソニー銀行のログインパスワードは8桁以内
コレ改善すればもう少しましになるのにね。
Re: (スコア:0)
ハンコをタダでくれるor銀行毎に作ると思えばいいんじゃない?
一次流出元は判明してるの? (スコア:0)
パスワードを平文で保存していた、一次流出元が有るはず。
それがどこだったのか、関係者の間では判明してるんでしょ?
Re: (スコア:0)
OpenSSLの脆弱性を付けば、どんな形式、方法で保存していようと無意味。
久々にMyVAIOからメール来たのはこれか (スコア:0)
つか、MyVAIOの存在を忘れてた
不正ログインされた数はもっとたくさんあるはずだが (スコア:0)
バスワードリスト攻撃ならポイント持ってないやつだって不正ログインに成功しているだろう
不正ログイン試行回数、成功回数などパナに比べて情報公開がなさすぎないか?
わかってて公開してないのは、かなりひどい状態なんじゃないかと。
まだ、続いてる? (スコア:0)
5/2のtwitterにこんなのが流れてたけど。
https://twitter.com/TOSHI_OVERTONE/status/462828728024698880 [twitter.com]