アカウント名:
パスワード:
> 調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。
どうやったら、他社から漏れたって分かるんだろう。
自分のところからリストが漏れたのなら入力エラーのとき自社の顧客リストに存在する(でもパスワードが違うのでエラー)ユーザーIDでログインを試行した割合が多くなるはず。
そうではなく他社のところからリストが漏れたなら入力エラーのとき自社の顧客リストに存在しないユーザーIDでログインを試行した割合が多くなるはず。
ちょっと補足的な文を
(管理方法にもよるが)そもそも不正侵入してIDとパスワードだけ盗む方がおかしい。その場合他の情報とセットで盗めばいいわけで、わざわざアタックする必要が無い。仮にIDとパスワードだけ盗み(もしくはポイント等の不正利用の場合)で、パスワード変えろ通知がなされていない場合、漏れてからアタックするまでの間に偶々変えたユーザーをのぞきほぼ100%ログインに成功するはず。
他サービスから流出した場合やブルートフォース攻撃であれば、ログイン成功確率が上と比べてかなり低く(1%とか)なる。
つまりログインログをちゃんと取っていれば判定は容易にできるのです。
他社やフィッシングサイトで盗られたID/パスワードで不正利用されたと判別する方法はあるとして、最近のインシデントに関する各社のアナウンスが「他社から漏れたと思われる」という言い訳をどれくらい信用していいのかが問題になってくるかもしれない。
中には自社から漏れていたり、セキュリティホールがあって不正侵入されたにもかかわらず、それを公表すると責任問題、信用問題、損害賠償が発生するから「他社から漏れた」って言い出す業者も出てくるかもしれない。
そろそろ、メールアドレスの使いまわしは危険、という注意喚起があってもいいころ#そのためにGmail(+xxx)やらYahooMail(10個アドレス/1メールボックス)やらいっぱいアドレス作ってある
>Gmail(+xxx)+任意文字列によるエイリアスってGmailの大きい長所の一つですよね。こういう随時使用可なエイリアスをサポートしてるところって他にもあるのかしら。一時期は情報がよく流れましたが、最近は語られることも少ないので知らない人も多いのでは。
メールアドレスに「+」の文字を認めないところが多いのが残念。
その場合は、ドットの位置と大文字小文字で区別してる。
+便利だけど、エイリアスの元のアドレスがばれてしまう。
他社から漏れたリストを持っている…なんてことはないよねw
新たなノーガード戦法?
恐らく、ソルトつきのパスワードのソルト部分が違うパスワードでログインを試すケースが異常に増加してるのかも。
全然別のACですが、「ソルト」のそういう使い方は初めて聞いたし、非常に誤解を与えやすいだけでなく、既存の文脈のソルトの意味をも曖昧にするので、使うべきでないとすら思う。
加えて、(ベース)+(追加文字列)のようなパスワードが緊急避難的に用いられるのは仕方ないとは思うけれど完全ランダムなパスワードに比べて確実に脆弱(察するに追加部分は意味のある文字列になるのだろう)で、そのようなパスワード管理法を良い方法として一般化するべきではないという意味でも、セキュリティ上有効な「ソルト」という単語をその方法に当てるのは嫌な印象を受ける。
パスワードを使い回すことが悪いのは、パスワードが平文で管理され(そして漏洩する)るケース以外にも、サービスのスタッフが悪意からパスワードを覗き見るケースを考慮していないというのがある。閲覧者に明快なヒントを与えるようなパスワードで安心感を持つのは、ある意味では単純な使い回しより危険な行為だと思う。
それは誤用ですのでその使い方を広めないで下さい。
柚子こしょうもオススメ
あれはゆず風味唐辛子味噌です #赤いのはダメだよな…
これはヒドイw
顧客からの問い合わせがあって突き詰めてみたら流出したサイトと同じパスワードだった・・・とかかな。これならリストはなくても他社から漏れたってわかるかと。
LINE「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」A「そうそう。最近mixiから不正アクセスでパスワード変えてってメール来た」LINE「mixiが漏らしたのか」
mixi「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」B「そうそう。最近niconicoから不正アクセスでパスワード変えてってメール来た」mixi「niconicoが漏らしたのか」
niconico「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」B「そうそう。最近LINEから不正アクセスでパスワード変えてってメール来た」niconico「LINEが漏らしたのか」
以下 サービス名を好きなものに書き換えてループ
まぁ、時系列で言えば一番古い漏洩サービスが怪しいと思われてしまうけど。他社で漏れたものかはわかるかもだけど、誰が漏らしたかはわからないね。
この例の場合、最初の漏洩が何処かは不明だが、LINE、mixi、niconicoともにこれだけあちこちのサイトでアタックがあったと公式発表しているのになにも対策を取らず結果的には侵入を許し、漏洩パスワードの精度を上げるための手伝いをしているという点に責任はあるでしょう。
ログインIDを、メールアドレスやアカウント名ではなく、サービス提供者側で発行したものに変更するだけで他サイト漏洩からのアタックに対しての強度は格段に上がりますが、おそらく利便性が下がるという理由で対策しないで放置しているのでしょう。
は? 運営の都合でIDを振られても覚えにくくて面倒なだけです。そんなの銀行だけにしてほしい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
うちが悪いんじゃない、他社のせいだ (スコア:1)
> 調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。
どうやったら、他社から漏れたって分かるんだろう。
Re:うちが悪いんじゃない、他社のせいだ (スコア:3, 参考になる)
自分のところからリストが漏れたのなら入力エラーのとき自社の顧客リストに存在する(でもパスワードが違うのでエラー)ユーザーIDでログインを試行した割合が多くなるはず。
そうではなく他社のところからリストが漏れたなら入力エラーのとき自社の顧客リストに存在しないユーザーIDでログインを試行した割合が多くなるはず。
Re: (スコア:0)
ちょっと補足的な文を
(管理方法にもよるが)そもそも不正侵入してIDとパスワードだけ盗む方がおかしい。その場合他の情報とセットで盗めばいいわけで、わざわざアタックする必要が無い。
仮にIDとパスワードだけ盗み(もしくはポイント等の不正利用の場合)で、パスワード変えろ通知がなされていない場合、漏れてからアタックするまでの間に偶々変えたユーザーをのぞきほぼ100%ログインに成功するはず。
他サービスから流出した場合やブルートフォース攻撃であれば、ログイン成功確率が上と比べてかなり低く(1%とか)なる。
つまりログインログをちゃんと取っていれば判定は容易にできるのです。
Re: (スコア:0)
Re: (スコア:0)
他社やフィッシングサイトで盗られたID/パスワードで不正利用されたと判別する方法はあるとして、最近のインシデントに関する各社のアナウンスが「他社から漏れたと思われる」という言い訳をどれくらい信用していいのかが問題になってくるかもしれない。
中には自社から漏れていたり、セキュリティホールがあって不正侵入されたにもかかわらず、それを公表すると責任問題、信用問題、損害賠償が発生するから「他社から漏れた」って言い出す業者も出てくるかもしれない。
Re:うちが悪いんじゃない、他社のせいだ (スコア:1)
そろそろ、メールアドレスの使いまわしは危険、という注意喚起があってもいいころ
#そのためにGmail(+xxx)やらYahooMail(10個アドレス/1メールボックス)やらいっぱいアドレス作ってある
Re: (スコア:0)
>Gmail(+xxx)
+任意文字列によるエイリアスってGmailの大きい長所の一つですよね。
こういう随時使用可なエイリアスをサポートしてるところって他にもあるのかしら。
一時期は情報がよく流れましたが、最近は語られることも少ないので知らない人も多いのでは。
メールアドレスに「+」の文字を認めないところが多いのが残念。
Re: (スコア:0)
その場合は、ドットの位置と大文字小文字で区別してる。
Re: (スコア:0)
+便利だけど、エイリアスの元のアドレスがばれてしまう。
Re: (スコア:0)
他社から漏れたリストを持っている…なんてことはないよねw
Re: (スコア:0)
新たなノーガード戦法?
Re: (スコア:0)
恐らく、ソルトつきのパスワードのソルト部分が違うパスワードでログインを試すケースが異常に増加してるのかも。
Re: (スコア:0)
Re: (スコア:0)
全然別のACですが、「ソルト」のそういう使い方は初めて聞いたし、
非常に誤解を与えやすいだけでなく、既存の文脈のソルトの意味をも曖昧にするので、使うべきでないとすら思う。
加えて、(ベース)+(追加文字列)のようなパスワードが緊急避難的に用いられるのは仕方ないとは思うけれど
完全ランダムなパスワードに比べて確実に脆弱(察するに追加部分は意味のある文字列になるのだろう)で、
そのようなパスワード管理法を良い方法として一般化するべきではないという意味でも、
セキュリティ上有効な「ソルト」という単語をその方法に当てるのは嫌な印象を受ける。
パスワードを使い回すことが悪いのは、パスワードが平文で管理され(そして漏洩する)るケース以外にも、
サービスのスタッフが悪意からパスワードを覗き見るケースを考慮していないというのがある。
閲覧者に明快なヒントを与えるようなパスワードで安心感を持つのは、ある意味では単純な使い回しより危険な行為だと思う。
Re: (スコア:0)
それは誤用ですのでその使い方を広めないで下さい。
Re: (スコア:0)
そんな使い方のソルトがあるんでか・・・。
できればソースも一緒にそえてくれればうれしいところです。
Re: (スコア:0)
柚子こしょうもオススメ
Re: (スコア:0)
あれはゆず風味唐辛子味噌です
#赤いのはダメだよな…
Re: (スコア:0)
これはヒドイw
Re: (スコア:0)
顧客からの問い合わせがあって突き詰めてみたら流出したサイトと同じパスワードだった・・・とかかな。
これならリストはなくても他社から漏れたってわかるかと。
Re: (スコア:0)
LINE「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
A「そうそう。最近mixiから不正アクセスでパスワード変えてってメール来た」
LINE「mixiが漏らしたのか」
mixi「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
B「そうそう。最近niconicoから不正アクセスでパスワード変えてってメール来た」
mixi「niconicoが漏らしたのか」
niconico「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
B「そうそう。最近LINEから不正アクセスでパスワード変えてってメール来た」
niconico「LINEが漏らしたのか」
以下 サービス名を好きなものに書き換えてループ
まぁ、時系列で言えば一番古い漏洩サービスが怪しいと思われてしまうけど。
他社で漏れたものかはわかるかもだけど、誰が漏らしたかはわからないね。
Re: (スコア:0)
この例の場合、最初の漏洩が何処かは不明だが、
LINE、mixi、niconicoともに
これだけあちこちのサイトでアタックがあったと公式発表しているのになにも対策を取らず結果的には侵入を許し、
漏洩パスワードの精度を上げるための手伝いをしているという点に責任はあるでしょう。
ログインIDを、メールアドレスやアカウント名ではなく、
サービス提供者側で発行したものに変更するだけで
他サイト漏洩からのアタックに対しての強度は
格段に上がりますが、おそらく利便性が下がるという理由で対策しないで放置しているのでしょう。
Re: (スコア:0)
は? 運営の都合でIDを振られても覚えにくくて面倒なだけです。そんなの銀行だけにしてほしい。