アカウント名:
パスワード:
メアドと電話番号って簡単に知り得るか?ましてやターゲットとした人が件のサイトを利用をしている確率って・・・
セキュリティ的には確かにお粗末だけど、影響範囲は狭そう
メアドと電話番号って簡単に知り得るか?
メールアドレス・カナ氏名は Facebook などのSNSで公開している人もいるし、ある程度の年齢(40代以降ぐらい)の世帯であれば過去に電話帳に掲載していた人も多いので、フルネームから 住所でポン! [jpon.xyz] で固定電話番号を特定できたりします。全国共有電話帳アプリで76万件の個人情報が一般公開された [mobilelaby.com] ので、氏名と関連付けられて携帯電話番号が漏えいしている人もいます。
ましてやターゲットとした人が件のサイトを利用をしている確率って・・・
会員登録数は公表されていないようなので推計するしかなさそうです。帝国データバンクの調査 [tdb.co.jp] によると、『レンタカーブランド別に 2015 年度の売上高構成比を見ると、「大手 6 ブランド」が 91.5%(9049 億 1300 万円)を占めた。』とのことなので、全体の売上高は約1兆円です。日産レンタカーの売上高は1,216億円 [nissan-fs.co.jp] なので、約1割強のシェアと言えます(厳密には売上高とシェアは完全には比例しないし、利用者の法人比率が違うかもしれないので、あくまでも推計です)。
レンタカーの利用経験は全体の51.8% [sankei.com] らしいので(母集団に偏りがあるかもしれませんが)、日産レンタカーの利用経験がある人は500万人ぐらいはいるのではないでしょうか。23ボーナスクラブ会員に登録することで大幅に割引になる [nissan-rentacar.com]し、店舗でも強く勧められることから、会員登録した割合が8割ぐらいあるとすると、400万人ぐらい対象者がいそうです。
メールアドレスに対応している生パスワードが漏えいしてしまうと、パスワードを使いまわしている大多数の人の場合、ありとあらゆるWebサービス(Googleアカウント、Amazonなどのショッピングサイト、オークションサイト、その他)が悪用されてしまうので、影響範囲は非常に広いです。
ユーザーのパスワードの使いまわしは防ぎようがないので、Webサービスの提供者側がパスワードの保護に相応しいハッシュ関数を使って生パスワードを保護すべき [srad.jp] なのです。
日産レンタカーは、パスワードリマインダーの悪用で顧客の生パスワードが第三者に不正に取得された恐れがあるのに、その事実を未だに公開していません。過去にパスワードリマインダーが使われた顧客をログから抽出して、メールなどで連絡するといった対応を行って、被害に遭った人に対してパスワードの変更(使いまわしをしている場合は他のWebサイトも)を呼びかけるべきです。
レンタカー使ったやつの浮気調査は楽になりそうだ。
自分のアカウントにログインして検証したところ、利用履歴(出発日時・出発店舗・返却日時・返却店舗・車両クラス)も表示できたので、確かに浮気調査に利用される危険もありましたね。日時は予約の時刻ではなく、実際に出発・返却した分単位の時刻となっていました。
2013年に使った利用履歴も表示されたので、履歴保存期間も長い模様です。
バラマキ型のメールで容易に悪用できそう既にメールアドレスは持っているわけだからね
いくらなんでも想像力なさすぎでは?# あまり細かく書くと幇助とか言われそうなので・・・
妄想力が豊か過ぎるのも問題だと思いますが?
>あまり細かく書くと幇助とか言われそうなので・・・
セキュリティ上の問題がどのように悪用されるか、様々な想像をして影響範囲を考える程度では、「妄想力が豊か過ぎる」ということにはならないので、安心してくださいね。
以前、具体的に記載した際にこのサイトで指摘を受けたので妄想ではないんですよ・・・
それに、この程度の内容で開示請求&訴訟ですかというようなことをされる企業もあるわけで・・・http://www.sankei.com/affairs/news/170412/afr1704120027-n1.html [sankei.com]
個人的には妄想力が豊かなのは正直羨ましいですね。あなたは、想像力が欠如していそうなので一緒に仕事したくないですがww
頭上で核爆弾が炸裂しないか、日々怯えて生きてるなんてかわいそうwww
まったくの他人に対して「頭上で核爆弾が炸裂しないか、日々怯えて生きてる」とまで具体的で断定的な妄想ができるとは、あなたは人並み外れた妄想力の持ち主ですね。
変なのに粘着されていますが敢えて、前向きに捉えると・・・
BCPを考えるときなどは、初期の段階で脅威分析を行います。普通は特定のロケーションが使えなくなることも想定しますのでBCPを策定済みの企業では、既に折り込み済みのはずですよね。中小企業庁でも、脅威として地震・火災・洪水・テロを明確に謳っているわけですから
ところで、核弾頭なら初期の段階での脅威の対象は横方向からの爆風であって、頭上の心配をするのであれば、一般的なミサイルでも同じなので、核弾頭である必要性があまりないのでは?
「抽選で●●名様に××をプレゼント、住所氏名電話番号とメールアドレスを入力してください」なんてキャンペーン、腐るほどあるぞ。
そこまで知ってたら、免許証の番号以外もすでに知ってそう...で、免許証の番号知ったところで何に使えるんだか...
友達同士で旅行に行った時に日産レンタカーを使っていたら、というケースならメアドも電話番号もわかってますし(PCのメアドと自宅の番号とかだとわかりませんが)レンタカー借りてくれたアイツのパスワードを手に入れてSNSでイタズラしよう、なんて事はできますね。
コレ↓思い出した。
■ ローソンと付き合うには友達を捨てる覚悟が必要http://takagi-hiromitsu.jp/diary/20120408.html [takagi-hiromitsu.jp]
だから許していたのかもね。
けど、・友達が日産レンタカーで借りた。・会社が日産レンタカーで借りている。ってだけ情報があればよさそうですね。
知らせずにどうやって使うんだ?
赤の他人ならともかく、仕事上で名刺交換した人の電話番号とメルアドならソコソコ持ってるでしょ?
下手すれば会社のDBに自由に閲覧できる状態でメアドと携帯番号登録されてるなんてことも珍しくないでしょ。営業ツール系システムとかで結構見ますよ?会社名検索すると過去に名刺交換した人の電話番号とメルアドを出してくるようなシステム。
ベネッセの場合クラス名簿で簡単に分かりそうですが、同じクラスの子や名簿業者経由で漏れても問題ないと考えたのだろうか
あなたは友達とメールのやり取りも、電話で話すこともしないの?引きこもりのボッチ?
普通、ある程度親しい人間は両方知ってるだろうに
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
え? (スコア:0)
メアドと電話番号って簡単に知り得るか?
ましてやターゲットとした人が件のサイトを利用をしている確率って・・・
セキュリティ的には確かにお粗末だけど、影響範囲は狭そう
影響範囲は広いし、悪用リスクも高い (スコア:4, 興味深い)
メールアドレス・カナ氏名は Facebook などのSNSで公開している人もいるし、ある程度の年齢(40代以降ぐらい)の世帯であれば過去に電話帳に掲載していた人も多いので、フルネームから 住所でポン! [jpon.xyz] で固定電話番号を特定できたりします。全国共有電話帳アプリで76万件の個人情報が一般公開された [mobilelaby.com] ので、氏名と関連付けられて携帯電話番号が漏えいしている人もいます。
会員登録数は公表されていないようなので推計するしかなさそうです。帝国データバンクの調査 [tdb.co.jp] によると、『レンタカーブランド別に 2015 年度の売上高構成比を見ると、「大手 6 ブランド」が 91.5%(9049 億 1300 万円)を占めた。』とのことなので、全体の売上高は約1兆円です。日産レンタカーの売上高は1,216億円 [nissan-fs.co.jp] なので、約1割強のシェアと言えます(厳密には売上高とシェアは完全には比例しないし、利用者の法人比率が違うかもしれないので、あくまでも推計です)。
レンタカーの利用経験は全体の51.8% [sankei.com] らしいので(母集団に偏りがあるかもしれませんが)、日産レンタカーの利用経験がある人は500万人ぐらいはいるのではないでしょうか。23ボーナスクラブ会員に登録することで大幅に割引になる [nissan-rentacar.com]し、店舗でも強く勧められることから、会員登録した割合が8割ぐらいあるとすると、400万人ぐらい対象者がいそうです。
メールアドレスに対応している生パスワードが漏えいしてしまうと、パスワードを使いまわしている大多数の人の場合、ありとあらゆるWebサービス(Googleアカウント、Amazonなどのショッピングサイト、オークションサイト、その他)が悪用されてしまうので、影響範囲は非常に広いです。
ユーザーのパスワードの使いまわしは防ぎようがないので、Webサービスの提供者側がパスワードの保護に相応しいハッシュ関数を使って生パスワードを保護すべき [srad.jp] なのです。
日産レンタカーは、パスワードリマインダーの悪用で顧客の生パスワードが第三者に不正に取得された恐れがあるのに、その事実を未だに公開していません。過去にパスワードリマインダーが使われた顧客をログから抽出して、メールなどで連絡するといった対応を行って、被害に遭った人に対してパスワードの変更(使いまわしをしている場合は他のWebサイトも)を呼びかけるべきです。
Re:え? (スコア:2)
レンタカー使ったやつの浮気調査は楽になりそうだ。
Re:え? (スコア:2)
自分のアカウントにログインして検証したところ、利用履歴(出発日時・出発店舗・返却日時・返却店舗・車両クラス)も表示できたので、確かに浮気調査に利用される危険もありましたね。日時は予約の時刻ではなく、実際に出発・返却した分単位の時刻となっていました。
2013年に使った利用履歴も表示されたので、履歴保存期間も長い模様です。
Re: (スコア:0)
バラマキ型のメールで容易に悪用できそう
既にメールアドレスは持っているわけだからね
いくらなんでも想像力なさすぎでは?
# あまり細かく書くと幇助とか言われそうなので・・・
Re: (スコア:0)
妄想力が豊か過ぎるのも問題だと思いますが?
>あまり細かく書くと幇助とか言われそうなので・・・
Re: (スコア:0)
セキュリティ上の問題がどのように悪用されるか、様々な想像をして影響範囲を考える程度では、
「妄想力が豊か過ぎる」ということにはならないので、安心してくださいね。
Re: (スコア:0)
以前、具体的に記載した際にこのサイトで指摘を受けたので
妄想ではないんですよ・・・
それに、この程度の内容で開示請求&訴訟ですかというような
ことをされる企業もあるわけで・・・
http://www.sankei.com/affairs/news/170412/afr1704120027-n1.html [sankei.com]
個人的には妄想力が豊かなのは正直羨ましいですね。
あなたは、想像力が欠如していそうなので
一緒に仕事したくないですがww
Re: (スコア:0)
頭上で核爆弾が炸裂しないか、日々怯えて生きてるなんてかわいそうwww
Re: (スコア:0)
まったくの他人に対して「頭上で核爆弾が炸裂しないか、日々怯えて生きてる」とまで
具体的で断定的な妄想ができるとは、あなたは人並み外れた妄想力の持ち主ですね。
Re: (スコア:0)
変なのに粘着されていますが
敢えて、前向きに捉えると・・・
BCPを考えるときなどは、初期の段階で脅威分析を行います。
普通は特定のロケーションが使えなくなることも想定しますので
BCPを策定済みの企業では、既に折り込み済みのはずですよね。
中小企業庁でも、脅威として地震・火災・洪水・テロを明確に謳っているわけですから
ところで、核弾頭なら初期の段階での脅威の対象は横方向からの爆風であって、
頭上の心配をするのであれば、一般的なミサイルでも同じなので、
核弾頭である必要性があまりないのでは?
Re: (スコア:0)
「抽選で●●名様に××をプレゼント、住所氏名電話番号とメールアドレスを入力してください」なんてキャンペーン、腐るほどあるぞ。
Re: (スコア:0)
そこまで知ってたら、免許証の番号以外もすでに知ってそう...
で、免許証の番号知ったところで何に使えるんだか...
Re: (スコア:0)
友達同士で旅行に行った時に日産レンタカーを使っていたら、というケースなら
メアドも電話番号もわかってますし(PCのメアドと自宅の番号とかだとわかりませんが)
レンタカー借りてくれたアイツのパスワードを手に入れてSNSでイタズラしよう、
なんて事はできますね。
Re: (スコア:0)
コレ↓思い出した。
■ ローソンと付き合うには友達を捨てる覚悟が必要
http://takagi-hiromitsu.jp/diary/20120408.html [takagi-hiromitsu.jp]
Re: (スコア:0)
セキュリティ的には確かにお粗末だけど、影響範囲は狭そう
だから許していたのかもね。
けど、
・友達が日産レンタカーで借りた。
・会社が日産レンタカーで借りている。
ってだけ情報があればよさそうですね。
Re: (スコア:0)
知らせずにどうやって使うんだ?
Re: (スコア:0)
赤の他人ならともかく、仕事上で名刺交換した人の電話番号とメルアドならソコソコ持ってるでしょ?
下手すれば会社のDBに自由に閲覧できる状態でメアドと携帯番号登録されてるなんてことも珍しくないでしょ。
営業ツール系システムとかで結構見ますよ?会社名検索すると過去に名刺交換した人の電話番号とメルアドを
出してくるようなシステム。
Re: (スコア:0)
ベネッセの場合クラス名簿で簡単に分かりそうですが、同じクラスの子や名簿業者経由で
漏れても問題ないと考えたのだろうか
Re: (スコア:0)
あなたは友達とメールのやり取りも、電話で話すこともしないの?
引きこもりのボッチ?
普通、ある程度親しい人間は両方知ってるだろうに