ヤマト運輸のクロネコメンバーズWebサービスに不正ログイン 44
ストーリー by headless
他猫 部門より
他猫 部門より
ヤマト運輸は26日、同社の会員制サービス「クロネコメンバーズ」のWebサービスで1万件を超える不正ログインが行われ、個人情報が閲覧された可能性があることを発表した(ニュースリリース、
時事ドットコムの記事)。
クロネコメンバーズは主に個人の利用者向けの会員サービス。25日15時~26日17時の間に特定のIPアドレスからの不正なログイン試行が約19万件確認されたため、同社では該当IPアドレスからのログインを遮断するなどの措置をとったという。不正ログイン件数は10,589件。閲覧された可能性があるのはクロネコID、メールアドレス、端末種別、氏名、電話番号、住所など。ただし、メールアドレスを登録していない会員に関しては、被害を受けた可能性はないとしている。
不正なログイン試行に使われたIDとパスワードは同社で使用していないものが多数含まれていたため、他社サービスから流出したIDとパスワードを使用したパスワードリスト攻撃である可能性が高いとみられる。なお、不正ログインの被害にあったクロネコIDは、パスワードを変更するまで使用できないようになっており、該当する会員には同社から個別に案内するとのことだ。
クロネコメンバーズは主に個人の利用者向けの会員サービス。25日15時~26日17時の間に特定のIPアドレスからの不正なログイン試行が約19万件確認されたため、同社では該当IPアドレスからのログインを遮断するなどの措置をとったという。不正ログイン件数は10,589件。閲覧された可能性があるのはクロネコID、メールアドレス、端末種別、氏名、電話番号、住所など。ただし、メールアドレスを登録していない会員に関しては、被害を受けた可能性はないとしている。
不正なログイン試行に使われたIDとパスワードは同社で使用していないものが多数含まれていたため、他社サービスから流出したIDとパスワードを使用したパスワードリスト攻撃である可能性が高いとみられる。なお、不正ログインの被害にあったクロネコIDは、パスワードを変更するまで使用できないようになっており、該当する会員には同社から個別に案内するとのことだ。
関連ストーリーにネタ混ぜるのやめーや (スコア:3, おもしろおかしい)
> 「猫がクリックした」ソフトウェアライセンス契約は有効?それとも無効?
クロネコ関係ないやろ
絨毯爆撃に耐えるには? (スコア:0)
ここまで使い回しのID、パスワード攻撃が続くと大手は狙われると思った方がいい。
IDもパスワードもユーザが任意に決められるタイプのサイトだと、
Google や Amazon 、 Apple ID あたりはどのように対応しているんだろう。
真っ先に狙われそうなんだか。
Re: (スコア:0)
ハニーポット的に囮IDをメジャーサイトに定期的に仕込んでおいて、それが使われたらすぐアラートだすとかどうだろう?すでに実施されてるかな
Re: (スコア:0)
ログインに失敗したIPを記録して規定数以上失敗しているようであれば数時間ログイン拒否が一般的な対策。
(15分間に5回失敗で1時間拒否とかなら、1IPで1日に試せる回数は単純計算で120回になるよね)
+するならいつも利用している国とかホストとかユーザーエージェントと比較とかとか
#1番良いのは2段階認証を強制することかな
Re: (スコア:0)
その対策方法くらいしか実用的なのはないか。あんまり制限を強くしすぎると同一のIPにたくさんのご家庭がぶら下がってるマンションとか、会社さんとか、アオリ食らって大変そう。
まあ、20万回もの試行をたったの1IPで仕掛けてくるほうも何だかなとは思う。そして、それに耐えられてしまう強力なサーバがうらやますぃ。
Re: (スコア:0)
「特定のIP」であって1IPではなかった。勘違いで投稿申し訳ない。
Re: (スコア:0)
実害を考えると、アマゾンや楽天で勝手に買物してコンビニで受け取る感じですかね。
ブックオフに転売するには身分証明書が要るし、ヤフオクは技術が要るし。
たとえばチケットぴあはメールアドレスをIDにできますが
すでに本名や電話番号が漏れてるとすると
要らんチケットを大量に買ったところで転売は技術が必要なんですよね。
起こりえる被害 (スコア:0)
被害として考えられるのが
・住所氏名電話番号などが流出
・ポイントでもらえる景品をかっさらわれる
・登録情報をでたらめに書き換えられる
・到着前の荷物の配達先を変えて荷物を奪われる(?)
・荷物の受け取り頻度とかを監視しようと思えばできるような気がする
このあたりかな。
荷物を奪うのは可能かなぁ…、配達先変えて後の受取人チェックをどのくらいチェックしてるか次第かな
Re:起こりえる被害 (スコア:2)
今回の件に関係なく、荷物は玄関先に堂々と立ってれば簡単に奪えるような気がしてます。
引っ越して間もないころのことですが、自宅前の道路で子供と遊んでいるときに玄関前に配達のトラックが止まりました。玄関に向かい歩きながら挨拶すると、何の確認もなく荷物を受け取れました。
後に何度か同じようなことがあり、どこの会社も同じようです。
# せめて玄関を開けるとこくらいは確認するべきでは?
Re: (スコア:0)
そういや家の前にヤマトの車が止まってた時に丁度帰宅が重なった事があったが、こっちが扉を開けるのを待ってから声をかけてきたっけな。
ちゃんと確認してるドライバーと、横着なドライバーがいるんだろう。
Re: (スコア:0)
俺も何度もあるけど、必ず鍵を開けるところを確認していたよ。
Re:起こりえる被害 (スコア:1)
とりあえずポイント使ってきた
まあ今月末で消える分が結構あっただけとも言うけど
荷物の配達/再配達は伝票番号が判ってないと変更できなかったはずだから
個人的にはほとんど実害がないなあ
Re:起こりえる被害 (スコア:1)
http://www.kuronekoyamato.co.jp/webservice_guide/faq/faq_12.html [kuronekoyamato.co.jp]
これはメールだけど、多分これ使って無くても右のMy荷物問い合わせに自動的に追加されると思う。
Re:起こりえる被害 (スコア:1)
あかん・・・お届け予定eメールを完全に忘れてた
登録メールアドレス変更すれば発送予定通知から荷物番号普通に取れて
それを元に配送先変更とか再配達すればいくらでも悪用できる・・・
今この記事見た (スコア:0)
この記事見る直前にクロネコ再配達依頼出したわ
普通にログインできたから大丈夫だったってことやね
まー他のサイトと同一passは使ってないから大丈夫だけど
IDやパスワード使いまわすなって言うなら (スコア:0)
IDにmail addressしか使えないサービスってやめて欲しいわ
Re:どうせこんなことだろうと思ってた (スコア:1)
再配達依頼は別に会員登録しなくても使えるんだが???
クロネコメンバーズページだから勘違いしているのかも (スコア:2)
再配達受付 | クロネコメンバーズ [kuronekoyamato.co.jp]
クロネコメンバーズのページ「クロネコIDをお持ちでない方」から。ただ親コメ主はタレこみの文章自体理解できていないようだから、登録しないと使えないとでも思っているのかしらん。たしかに日本郵便は登録するところないけど、配達時に絶対かけてきたためしがない電話番号を入力させるから嫌い(最近は捨て番号書いてますけど)。
# ドライバーへの直通電話で再配達依頼できないのが日本郵便のくおりてぃ
モデレータは基本役立たずなの気にしてないよ
Re:クロネコメンバーズページだから勘違いしているのかも (スコア:1)
># ドライバーへの直通電話で再配達依頼できないのが日本郵便のくおりてぃ
先々月だったか、買い物から帰宅して「届けないまま戻った乞連絡」連絡票記載の携帯電話にかけて再配達を依頼した。30分以内に受け取ることができた。
日本国内どこでも同一サービス内容というわけではない、というか地域の特色という好意的解釈ですませていいのかな?
ひょっとして県別のひとりあたりGDPで計ることのできる生産性の低さの理由のひとつ?
郵便局まで2万4000キロもある地方だからか(ぉぃ (スコア:0)
ふつう「郵便物等お預かりのお知らせ」 [japanpost.jp]に配達者の携帯電話の番号を書くところなんてないでしょうに。
Re:郵便局まで2万4000キロもある地方だからか(ぉぃ (スコア:1)
伝票見ながら欠いたわけじゃないから思い違いかもしれないけど日本郵便だったと記憶している。
・書くところなくても電話番号のところにタックシールを貼っていた
・感熱紙プリンタ印刷出力の上記とは別の帳票伝票に手書きだった
・そもそも二本郵便でなかったのを思い違いしているだけ
どれだろう?
// 「郵便局まで2万4000キロもある地方」は訂正コメント投稿しても無視ですか
Re:郵便局まで (スコア:1)
癪に障ったのでしたら謝りますけど、配達エリアが広いところならそういうこともあるのかと思って。
まあしかし「ゆうパック」の場合は置いてくるものが違うらしい [srad.jp]ことが分かったので、もういいです。
モデレータは基本役立たずなの気にしてないよ
Re:郵便局まで (スコア:1)
面白い切り口だとおもったけど誤まってほしいほどのことではないので構いません。
発端で間違えてぶっとんだ発言をした側にも非はあるわけで。
というか不在だったら第二希望の最寄コンビニに取り置きくらいの弾力的サービスは開発してほしいです。
Re:郵便局まで (スコア:1)
>不在だったら第二希望の最寄コンビニに取り置きくらい
品物によってはクロネコがやってますよ(宅急便店頭受取サービス [kuronekoyamato.co.jp])。保管期限がけっこう短いですけど、便利。郵便局の場合は「ゆうゆう窓口」で対応 [srad.jp]してますけど、うちの場合10km先なので…。
モデレータは基本役立たずなの気にしてないよ
Re:郵便局まで (スコア:1)
クロネコヤマトの集荷取次はコンビニだけでなく、米屋、酒屋、床屋、芸能事務所屋…みたいにさまざまある。
もしこれらが取次ぎ店頭受け取りサービスになれば僻地でも強力だろうなあ。
…という弾力的なサービス拡充には関心がないように見受けられる日本郵便。弾力的なのはゆうちょ銀行が提携ATMで使えることと、昔からの小規模小売店でよく使う切手をおいてあることくらいしか思いつかない。
いやもう一つだけあった。コミケ開催中は会場で臨時でゆうパック集荷窓口を開設することは覚えている。
Re: (スコア:0)
『荷物の不在連絡票』についての話なのに、『郵便物の不在連絡票』にすり替えるのか意味不明ですね。
また、ゆうパック・クロネコヤマト・佐川急便・西濃運輸では不在連絡票のドライバー直通連絡先が考慮
されているようですよ。
# なので、#2683734で書いておられる『日本郵便の記憶』は、ゆうパックであれば正解かと。
Re:郵便局まで2万4000キロもある地方だからか(ぉぃ (スコア:1)
「届けないまま戻った乞連絡」連絡票とは
>『荷物の不在連絡票』
ゆうパックのですか、あまり利用しないので知らなかった。だから別に意図してすり替えたわけではない。
それに配達のお申込み受付 - 日本郵便 [japanpost.jp]のページでもゆうパックの説明に「郵便物等ご不在連絡票」をご用意の上」と書いてあって、明確に区別していないけどな。
#ゆうパックより国際小包のほうが到着頻度は多い気がするのでID
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
佐川は電話で再配達依頼しようとして十数回鳴るまで待ってみても出やしない。
そのくせ何回か掛けていると時々通話中だったりして、わざとほったらかしてるのかと思った程。
いい加減頭にきたのでWebで再配達を依頼することにしたが、営業所の対応が悪いだけなのかどうかは知らないけど強制されたような気分でした。
元コメはどうして-1なんですかね。
タダで情報を入手できるからって、必要最低限以上の情報を入力させようとする企業も多いでしょ。
サイトによっては生年月日や勤務先が必須項目にされていることもありますが、これらがサービスを提供するのに必要な情報でしょうか
Re: (スコア:0)
今時再配達を電話で申し込む人間は迷惑でしかありません。運送会社的にはクレーマーに匹敵する迷惑。
Webや自動再配達であれば、既に構築費を払っているので、わずかな維持費用で済みます。
普通の電話だと、電話3分、事務処理2分。人件費を1200円/hとして、100円かかります。
1つ運んで数円の利益とかの世界で、コレは厳しい。
私が上司なら、電話に出るなと指導しますね。
銀行だって窓口で振り込もうとしたら、ATMに誘導されるでしょ。
Re:どうせこんなことだろうと思ってた (スコア:1)
ちゃんと会員登録してると、荷物の届く前日にメールが届く。
受け取れなさそうなら、配達日時を事前に変更できる。
クロネコ側は無駄な配達作業減らせるし、我々は10円相当のポイントが貰える。
無駄な作業を減らせれば、送料も安く維持できるわけで、
みんなが幸せになれると思いますけどね。
それに外部のリストでアタックされるのはクロネコの責任じゃない。
佐川と同じIDとパスを使ってる俺が悪い(笑)
Re: (スコア:0)
>他社サービスから流出したIDとパスワードを使用したパスワードリスト攻撃
3行以上あるからって、ちゃんと読もうぜw
Re: (スコア:0)
クロネコメンバーズはポイントサービスや
流通に乗った時点でのお届け前お知らせなどがメインで
割と適切な量の個人情報収集だけどねぇ。
他に書かれてる通り再配達そのものは登録いらないし。
*最近パスワードリスト攻撃が多く見られますが、
原因そのものはパスワード使い回しが原因であるとはいえ
ID部分がメールアドレスのサイトが多すぎる。
メールアドレスだとヒモヅル状にほかサイト回れちゃってなんともねぇ。
自由に設定できるようにしてほしいものだわ。
Re: (スコア:0)
違う、そうじゃない。
パスワードを平文or元に戻せるデータで保存してるサイトが多すぎるほうが問題。
国外のサービスには無効だとしても、いっそ平文・可逆の暗号としてパスワードを保存することを禁止する法律とかあってもいい気がする。
Re:どうせこんなことだろうと思ってた (スコア:1)
いやいや、ID 使いまわしの方がダメ。
ID、パスワードの組み合わせは、別に平文データが流出しなくても、
ブルートフォースや辞書攻撃で突破きたものをリスト化できるから。
あと、認証の仕組みによっては平文保管が必須なものもあるから。
(DIGEST-MD5 みたいなやつね。)
[Q][W][E][R][T][Y]
Re: (スコア:0)
>認証の仕組みによっては
今時、WebサービスでDIGESTとか使ってる時点でアウトだろ
>ブルートフォースや辞書攻撃で突破きたものをリスト化できるから。
ブルートフォースを許したなら、それは平文で保存してるのと同レベルかもっと駄目な仕様だ
辞書攻撃で突破できたとしたら、単にパスワードの強度の問題で、認証の仕組みや保存方法とは別の問題
Re:どうせこんなことだろうと思ってた (スコア:1)
>今時、WebサービスでDIGESTとか使ってる時点でアウトだろ
何故でしょうか?
DIGEST 認証自体は Basic 認証なんかよりマシだと思いますけど。
あと、Web サービスと書いてありますが、SMTP や POP3/IMAP でも使われます。
通信路を暗号化して平文パスワードを流すのと、
通信路もパスワードも暗号化して流すなら、後者の方が良いと普通は考えますね。
>ブルートフォースを許したなら、それは平文で保存してるのと同レベルかもっと駄目な仕様だ
>辞書攻撃で突破できたとしたら、単にパスワードの強度の問題で、認証の仕組みや保存方法とは別の問題
あのですね、暗号化orハッシュ化されたパスワードリストでも、入手すれば
容易に辞書攻撃可能ですよ。サーバ側のパスワードリストが暗号化されてれば
漏れても今回のような事態にならないとでも思ってるんですか?
[Q][W][E][R][T][Y]
Re: (スコア:0)
>DIGEST 認証自体は Basic 認証なんかよりマシだと思いますけど。
なんでBasic認証と比べるんだよwww
「家の扉に鍵をつけないのは、扉そのものをつけないことよりはマシだと思います」ってレベルの比較じゃん。
真面目に言うなら、HTTPの仕様そのものを使った認証は全般的に危険と思ったほうがいいよ。
それこそブルートフォースかけるのが容易なだけじゃん。
認証はプロトコル側に極力依存しないよう設計すべき。
>Web サービスと書いてありますが、SMTP や POP3/IMAP でも使われます
だからそっちのパスワードが漏れても大丈夫なようにWebサービス側で何とかしろって話でry
そもそもSMTPやPOP3、IMAPを提供するのがWebサービスだと思ってるなら出直してきたほうがいいよ。
>あのですね、暗号化orハッシュ化されたパスワードリストでも、入手すれば容易に辞書攻撃可能ですよ。
それは適切に暗号化orハッシュ化されてないだけじゃん。
そうじゃないと言うなら具体的な方法書いてみろよ。
Re:どうせこんなことだろうと思ってた (スコア:1)
Webサービスと書いてあったので、HTTP 周り以外も上げただけです。
今一番おすすめな Salt した hash でも、パスワードDBがもれた場合、
Salt はダダ漏れなのであとは辞書に従って攻撃するだけです。
事前に暗号化文字列を用意できないだけです。
自宅の鍵に、名前や住所を書いておく人はいません。
- 既知の情報を ログインID にする
- ログインIDを積極的に公開する
のは、あなたの言う「駄目な仕様」そのものです。
[Q][W][E][R][T][Y]
Re: (スコア:0)
>Webサービスと書いてあったので、HTTP 周り以外も上げただけです。
WebサービスというのはWorld Wide Webの規格に則ったもので、HTML等をベースとしたWebブラウザ上で動くサービスのことを言う。
SMTPやPOP3、SMTPのような電子メールサービスは、インターネット上のサービスではあるけどWebサービスではないんだよ。
そういう根本的なところから理解してないから出直して来いって書いたんだが。
>今一番おすすめな Salt した hash でも、パスワードDBがもれた場合、
>Salt はダダ漏れなのであとは辞書に従って攻撃するだけです。
それはSaltの実装が悪いか、君がSaltの意味を正しく理解してないだけ。きちんとストレ
Re: (スコア:0)
たしか配達先の変更だったか、ヤマト運輸の事務所からの直接引き取りの依頼はクロネコメンバーズでないと受け付けてくれなかったはず
ずいぶん前に客先に送った荷物を客先の客先に急いで渡す都合があって、登録して一度だけ使ったことがある
Re: (スコア:0)
クロネコメンバーズの登録は住所の確認とかもあった(物理的に郵便が送られてくる)から、本人確認の意味もあると思うよ。
伝票番号だけで配達先の変更が簡単にできちゃったら、それは言うまでもなく大問題だからね。
身元の確認がとれてる登録ユーザーに限定する、っていうのは何もおかしいことはなくて、むしろ正しい仕様だと思う。
#他でも言われてるけど再配達の申し込みだけなら、わざわざネットで登録しなくても電話すれば済む話
Re: (スコア:0)
何が問題なのかちゃんと分かってない人には、どんなシステムも無駄なんだろうなということが良く分かる。
Re: (スコア:0)
>何が問題なのかちゃんと分かってない人には、どんなシステムも無駄なんだろうなということが良く分かる。
確かにそうですね。
揚げ足取りみたいな反応を示してる人がいますが、今回はヤマト運輸に関しては当てはまらなかったというだけですから。
流出の順序が違えばヤマト運輸のIDやパスワードを利用して決済情報のあるサイトから情報を引き出される可能性もあった訳ですからね。
>存在しない情報が盗まれることは絶対にないと、そろそろ理解するべき。
これは至極真っ当な指摘ですね。
記事を読むのだけなどのためにアカウントを作らせられて住所や電話番号などを入力させられれば、なかにはIDやパスを共通にしてしまう人もいることがいることも考慮されるべきでしょう。