パスワードを忘れた? アカウント作成
2804357 story
マイクロソフト

Microsoft、Hotmailの深刻な脆弱性を修正 21

ストーリー by headless
修正 部門より
Microsoftは4月27日、Windows Live Hotmailのパスワード再設定に関する深刻な脆弱性を修正したことを発表した。この脆弱性を利用したとみられる攻撃によりHotmailアカウントがハックされ、スパムの送信に使われたといった報告が4月に入ってから相次いでいた(Microsoft Security ResponceチームのツイートArs Technicaの記事BBC Newsの記事本家/.)。

Hotmailのパスワード再設定機能では、登録した電子メールアドレスあてにトークンを含むリンクが送信される。しかし、トークンが正しく検証されていなかったため、任意のHotmail/MSNアカウントのパスワードを攻撃者が変更できる状態となっていた。この脆弱性をVulnerbility Labが発見したのは4月6日。20日に報告を受けたMicrosoftはすぐに修正を行ったとのことだが、すでに多くのアカウントが攻撃を受けた後だったという。

今回の修正に伴ってHotmailユーザーは特別な操作をする必要はないが、攻撃を受けたアカウントではパスワードの再設定が必要だ。ただし、再設定に必要な情報を攻撃者が変更している場合、回復が困難な状態になっている可能性もある。なお、アカウントが攻撃された形跡があっても以前のパスワードでログインできる場合(/.J記事)、別の方法で攻撃されたものとみられる。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年04月28日 19時54分 (#2144548)

    自分のHotmailに、身に覚えのないパスワード再設定のメールが毎日やってくきて何なんだと思って、再設定をキャンセルってリンクをクリックした日から
    広告メールとか変な欧文サイトの登録メールがいっぱいやってきてめっちゃ緊張したことが2年前の経験

    なぜかパスワードが変わられてなかったから速攻で変えてたんだが
    次の日にまた再設定メールがやってくる

    クレカ登録済みのXbox Liveアカウントにまで被害は及んでなかったのが不幸中の幸い

    • by masahikoi (1183) on 2012年04月28日 20時43分 (#2144564)

      これはマジレスしていいのかボケ返すべきなのか判断に困る ;^^)

      親コメント
    • どっかのバカがアカウントを覚え違いしていて、コメ主のアカウントを自分のだと信じて、
      そのメールアドレスを使っていろんな所に登録し、さらには
      「あれ、ログインできないぞ。パスワード覚え違いかな? しかたない、再設定をポチッとな」
      「あれ、メール来ないなぁ。しかたない、もう一度ポチ」
      ってなことをやってた、というのに一票。

      親コメント
    • by Anonymous Coward
      まだ、所々日本語が変になる不具合があるようですが、Hotmail経由でウイルスにも感染されましたか?

      #すると、ウチの会社のSE達が使っているPCも、あらかた疑わなきゃな。
          あれほどHotmailは禁止だと言ったのに・・・
    • by Anonymous Coward

      凄い高度な釣り。
      本当に釣りに見えない点が、凄腕。

    • by Anonymous Coward

      それ、ユニークなトークンの付いたURLだったんで、メアドをハーベスティングされたんじゃないの?
      # と返していいのか判断に困る

    • by Anonymous Coward

      こういう人が標的型攻撃とかにあっさり引っかかるんだろうなあ…

      スラドでコレなんだから世間一般の情報セキュリティ意識の低さはヤバイですよね

  • by Anonymous Coward on 2012年04月28日 18時47分 (#2144522)

    GmailからHotmailへの移行を試したIT編集者、2週間で断念 の脆弱性の元ネタですか・・・
    担当者首つらなければいいが・・・
    #IT は地獄だな

    • by Anonymous Coward on 2012年04月28日 19時18分 (#2144530)

      攻撃者が変更できるとなっているから、違うんじゃないか?
      英字7文字って所のほうが問題なような気がする。

      親コメント
    • by Anonymous Coward

      最後の1文からすると、別の話のようだね

    • by Anonymous Coward

      #ITを@ITに空目した。

      ※まぁ、あそこも運営はIT Mediaだし。

  • by Anonymous Coward on 2012年04月28日 19時05分 (#2144526)

    Hotmail のアカウントって今は Windows Live のアカウントと共通だよね。
    ってことは、お金に関わる被害もあるはずだから、触れた方がいいような気がする。
    Xbox Live, Games for Windows Marketplace, Windows Phone Marketplace くらいしか思いつかないけど。

  • よくある話。スパム送信に使われないためには、一日に送信できる最大送信数を設定すれば良いんじゃないかな? アカウント乗っ取りは防ぎようがない。
    • by Elbereth (17793) on 2012年04月29日 10時21分 (#2144670)
      1日などのある一定期間での送信可能件数を設定しているISPは
      ありますね。
      でも1通のメールでCCなりBCCで大量の宛先を指定されると、
      例えば1日あたり1000通までと指定してCC/BCCを1通あたり
      500件までとしていたら、トータルで50万件の宛先に送れて
      しまいます。
      ISP側できつめの制限かけると、それはそれでクレーム
      入れてくるユーザーもいるので面倒っちゃ面倒ですね。
      ユーザー自身で指定できる機能があったらすばらしいかも
      知れないけど、一般的にspam送信に使われるユーザーが
      その設定をすることはないですね。

      他、アカウントのパスワードが漏洩していたら意味ないけど、
      SMTP AUTHという手はあります。OP25Bでは基本的に
      SMTP AUTHを実施しているので、それでかなり防げているはず。
      親コメント
      • by Elbereth (17793) on 2012年04月29日 10時30分 (#2144671)
        自己レス
        > でも1通のメールでCCなりBCCで大量の宛先を指定されると、
        > 例えば1日あたり1000通までと指定してCC/BCCを1通あたり
        > 500件までとしていたら、トータルで50万件の宛先に送れて
        > しまいます。
        例えばpostfixだと、確か時間あたりの送信制限は
        smtpd_client_message_rate_limit で指定したと思うけど、これは
        bcc/ccを含めた数のはずなので上記のようなことには
        ならないですけど。
        親コメント
  • by Anonymous Coward on 2012年04月30日 8時59分 (#2145008)

    25日あたりにやられてオランダなIPアドレスからアドレス帳の宛先にspam一通送られたorz

    • by Anonymous Coward

      ひとつ前のストーリーの方か

  • by Anonymous Coward on 2012年04月30日 15時47分 (#2145105)

    MSのサービスで問題発生

    →ユーザーが悪い
    →ユーザーが悪い
    →ユーザーの勘違い
    →問題は確認されていません
    →ユーザーが悪い
    →ユーザーの勘違い
    →ユーザーの勘違い
    →修正シマシタ
    →ユーザーが悪い
    →ユーザーの勘違い
    →直ってないじゃん
    →ユーザーが悪い
    →解決されてます
    →解決されてます
    →解決されてます
    →ユーザーが悪い
    →問題は確認されていません
    →ユーザーが悪い
    →直ってないって
    →ユーザーの勘違い
    →ユーザーが悪い
    →ユーザーが悪い
    ・・・
    ・・・

    いつものパターン

    • by Anonymous Coward

      > MSのサービスで問題発生

      確かに、この長々と続くパターンは面倒ですね。
      他社のように簡潔なパターンを見習うべきです。

      Appleのサービスで問題発生の場合:
      →「問題は確認されていません」で終了

      Googleのサービスで問題発生の場合:
      →「ご報告ありがとうございました」の受付確認メールで終了

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...