パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

LINEでも他社サービスから流出したパスワードを使用したとみられる不正ログインが増加」記事へのコメント

  • by Anonymous Coward on 2014年06月14日 16時58分 (#2621120)

    > 調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。

    どうやったら、他社から漏れたって分かるんだろう。

    • by Anonymous Coward on 2014年06月14日 17時18分 (#2621127)

      自分のところからリストが漏れたのなら入力エラーのとき自社の顧客リストに存在する(でもパスワードが違うのでエラー)ユーザーIDでログインを試行した割合が多くなるはず。

      そうではなく他社のところからリストが漏れたなら入力エラーのとき自社の顧客リストに存在しないユーザーIDでログインを試行した割合が多くなるはず。

      親コメント
      • by Anonymous Coward

        ちょっと補足的な文を

        (管理方法にもよるが)そもそも不正侵入してIDとパスワードだけ盗む方がおかしい。その場合他の情報とセットで盗めばいいわけで、わざわざアタックする必要が無い。
        仮にIDとパスワードだけ盗み(もしくはポイント等の不正利用の場合)で、パスワード変えろ通知がなされていない場合、漏れてからアタックするまでの間に偶々変えたユーザーをのぞきほぼ100%ログインに成功するはず。

        他サービスから流出した場合やブルートフォース攻撃であれば、ログイン成功確率が上と比べてかなり低く(1%とか)なる。

        つまりログインログをちゃんと取っていれば判定は容易にできるのです。

        • by Anonymous Coward
          うちが攻撃を受けた時の話ですが、自社サービスのID/PWルールに嵌らないID/PWでログイン施行をされたため他社で流出したリストなのは間違いないという結論になりました。 また、既に出ていますがログイン成功率も1%未満でした。
      • by Anonymous Coward

        他社やフィッシングサイトで盗られたID/パスワードで不正利用されたと判別する方法はあるとして、最近のインシデントに関する各社のアナウンスが「他社から漏れたと思われる」という言い訳をどれくらい信用していいのかが問題になってくるかもしれない。

        中には自社から漏れていたり、セキュリティホールがあって不正侵入されたにもかかわらず、それを公表すると責任問題、信用問題、損害賠償が発生するから「他社から漏れた」って言い出す業者も出てくるかもしれない。

    • by Anonymous Coward on 2014年06月14日 19時06分 (#2621148)

      そろそろ、メールアドレスの使いまわしは危険、という注意喚起があってもいいころ
      #そのためにGmail(+xxx)やらYahooMail(10個アドレス/1メールボックス)やらいっぱいアドレス作ってある

      親コメント
      • by Anonymous Coward

        >Gmail(+xxx)
        +任意文字列によるエイリアスってGmailの大きい長所の一つですよね。
        こういう随時使用可なエイリアスをサポートしてるところって他にもあるのかしら。
        一時期は情報がよく流れましたが、最近は語られることも少ないので知らない人も多いのでは。

        メールアドレスに「+」の文字を認めないところが多いのが残念。

        • by Anonymous Coward

          その場合は、ドットの位置と大文字小文字で区別してる。

        • by Anonymous Coward

          +便利だけど、エイリアスの元のアドレスがばれてしまう。

    • by Anonymous Coward

      他社から漏れたリストを持っている…なんてことはないよねw

    • by Anonymous Coward

      新たなノーガード戦法?

    • by Anonymous Coward

      恐らく、ソルトつきのパスワードのソルト部分が違うパスワードでログインを試すケースが異常に増加してるのかも。

      • by Anonymous Coward
        勘違いされているようですが、ソルトはパスワードをハッシュ化する際にパスワードに付加するものです。 それによって、二つのIDのパスワードがたまたま同じでも、異なるハッシュ値になる可能性を上げます。 これにより、ハッシュ化されたパスワードの解読の難易度が上がります。
    • by Anonymous Coward

      顧客からの問い合わせがあって突き詰めてみたら流出したサイトと同じパスワードだった・・・とかかな。
      これならリストはなくても他社から漏れたってわかるかと。

      • by Anonymous Coward

        LINE「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
        A「そうそう。最近mixiから不正アクセスでパスワード変えてってメール来た」
        LINE「mixiが漏らしたのか」

        mixi「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
        B「そうそう。最近niconicoから不正アクセスでパスワード変えてってメール来た」
        mixi「niconicoが漏らしたのか」

        niconico「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
        B「そうそう。最近LINEから不正アクセスでパスワード変えてってメール来た」
        niconico「LINEが漏らしたのか」

        以下 サービス名を好きなものに書き換えてループ

        まぁ、時系列で言えば一番古い漏洩サービスが怪しいと思われてしまうけど。
        他社で漏れたものかはわかるかもだけど、誰が漏らしたかはわからないね。

        • by Anonymous Coward

          この例の場合、最初の漏洩が何処かは不明だが、
          LINE、mixi、niconicoともに
          これだけあちこちのサイトでアタックがあったと公式発表しているのになにも対策を取らず結果的には侵入を許し、
          漏洩パスワードの精度を上げるための手伝いをしているという点に責任はあるでしょう。

          ログインIDを、メールアドレスやアカウント名ではなく、
          サービス提供者側で発行したものに変更するだけで
          他サイト漏洩からのアタックに対しての強度は
          格段に上がりますが、おそらく利便性が下がるという理由で対策しないで放置しているのでしょう。

          • by Anonymous Coward

            は? 運営の都合でIDを振られても覚えにくくて面倒なだけです。そんなの銀行だけにしてほしい。

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...