So-netで不正アクセス、ポイントが不正に利用される 39
ストーリー by headless
アクセス1万回 部門より
アクセス1万回 部門より
ソネットエンタテインメントは、So-net会員のID/パスワードを用いた第三者による不正アクセスが行われたことを発表した。会員向けポイントサービス「ソネットポイント」における不正な商品交換などが行われたとのこと。発表時点で同社からの情報漏洩は確認されていない
(お知らせ、
asahi.comの記事、
YOMIURI ONLINEの記事)。
不正アクセスが行われたのは5月16日から17日で、ユーザーからの問い合わせにより18日までに判明した。特定のIPアドレスから約1万回のアクセスが試行されており、128のIDで計105,500ポイント(約10万円相当)が不正な商品交換に使用されたとのこと。また、90のIDではWebメールの不正な閲覧も行われたという。これを受けて同社では、ソネットポイントの交換を停止したほか、不正アクセスに使われたIPアドレスからのアクセス遮断や、アクセス急増の監視強化といったセキュリティ対策を実施し、該当ユーザーに電話でパスワードの変更を要請している。
ソネットは今年が初めてではない (スコア:3, 興味深い)
2010年4月30日から不正が始まり、7月21日に発覚。セキュリティの強化をしたと終結宣言があったのが8月30日ですから、わずか1年にも満たない期間で同じ事件が起きてしまったことになります。
ソニーグループ全社的にセキュリティに関する技術者に問題があるのでは・・・
Re:ソネットは今年が初めてではない (スコア:1)
世間では残念な人が多いってことだけでしょ?
こんなの技術屋がどうがんばっても無理ですよ。
不正アクセスされたケースにおいて、ユーザーID とメールアドレスが一致している割合が高く、
弊社のサイト以外で同じID やパスワードを利用したことなどにより収集されたデータをもとに
試行している可能性が高いものと推察されます。
So-net フォン」への不正アクセス、および不正利用の原因調査結果について [so-net.ne.jp][PDF]より引用。
Re:ソネットは今年が初めてではない (スコア:1)
まあ、しいていえば、特定パターンのパスワードははじくしかないんだろうね。
# パスワード評価用ライブラリとかあったかな...
よくあるのが、
* IDと同じ
* 生年月日や住所などから類推できるもの
* 辞書アタックで上位に来るパスワード(11111とかpasswordとか)
ですけど。
さてどこまではじいてるんでしょうか > 各種サービス
# いっそパスワードは任意設定じゃなくて、常に生成エンジンでサーバ側で生成したくなる
# けどDoSの元だよねぇ...orz
M-FalconSky (暑いか寒い)
ソネットの問題ではないのでは (スコア:3, 興味深い)
「約1万回のアクセスが試行」で「128のID」と「90のID」が不正に使用されているので、辞書攻撃にしては確率が高く、事前に漏れていたにしては低いように思われる。
直前にYahoo JAPAN [nifty.com]でも不正アクセスが起きているようなので、
どこかで流出した登録メールアドレス/パスワードの組をもとに
複数サービスで同じパスワードを使ってる人が狙われたんじゃないかなあ
直近の流出といえばやはりPSNが疑われますが
技術空洞? (スコア:2, 興味深い)
『技術空洞』 [amazon.co.jp]って本の内容を見てると、
ソニーは単なる官僚組織でしかないような気もしてきて
ここ最近の醜態も当然かという感じもします。
ブヨブヨにふくれあがったVAIOではマネジメントも山のようにいた.(中略)おそらくVAIOだけで100人はマネジメントがいたのではないか [hatena.ne.jp]
Re: (スコア:0)
この手の話題に辟易しているのは自分もそうなんですが
やっぱり東電もそうなんでしょうかね。
Re: (スコア:0)
電力会社って点検・保守のための多くの技術者で成り立ってるイメージなんですが
内部では少数精鋭でクリエイティブな仕事をやってるんですか?
電力会社や鉄道会社なんかでクリエイティブなことされてもなぁって思う。
そういう部門は別にちゃんと存在してるんだろうし。
Re: (スコア:0)
点検・保守のための多くの技術者で成り立ってることと、官僚主義とは関係ない。
むしろ官僚主義って技術者が最も忌み嫌う物では無いかと。
まして日本の大企業だと、技術部門は下請けに丸投げ、
上の人は技術のことは右も左も分かりませんってのは良くある話だしなあ。
ソニー系列 (スコア:1)
なんか立て続けにやられてますが?何か関連性でもあるのでしょうかね?
てか、ソニーってそんなに怨みかっているのかと。
Re:ソニー系列 (スコア:3, 参考になる)
長文になったうえ、so-net擁護みたいになっちゃったので最初に要点を書きます。
(/.ユーザの大半は大丈夫だと思いますが。)おそらくso-netだけの問題では無くこれから色んなサービスへの攻撃が増えるので、安易なパスワード等設定している人は即座に変更しましょう。
以下はあくまで個人的な意見として。
PSNの件があったばかりなので誤解されやすいですが、PSNの方は完全にサービス提供側の責任でso-netの方は少なくとも半分はユーザの責任です。
もちろんso-netはそんなこと言わないでしょうけど。
# ちなみに私はso-netユーザです。
個人的な意見としてはso-netに落ち度があるとしたら、
といったあたりでしょうか。
"2."は後述の理由もあるので対策出来たかは難しいところ。
"3."は何を持って十分とするのか。
パスワード8文字以上で数字を含めることという制限が付いていて、総当たりに対する対策は一応されています。
大文字小文字を両方に使うことという条件が無く、大半の記号が使えないという問題はありますが。
私は契約した時郵送されて来た紙に載っているパスワードで何故かログイン出来ずにコールセンターに電話して口頭でパスワードを設定して貰いましたが、
その時もインターネットへ接続出来てso-netの会員ページが開けたらすぐにパスワードを変更して下さいと念を押されました。
"1."は確実に問題だとは思いますが。
発表では攻撃元を自動で遮断する仕組みそのものの有無は不明。
さすがに総当たり攻撃に対する対策は取っていると思われますが、
試行回数に対する成功数を見ると、辞書か何らかのリストによるものであった可能性が高いので
接続を遮断されないように試行のペースを落として攻撃していた可能性もあります。
16日~17日にかけて攻撃を受けたとあり、18日に判明なので24時間程度は攻撃が続いていたとすれば1分間に7回の頻度で十分ということになります。
特にオンラインゲームが多いようですが、アカウントハックは日常的に起きてます。
(主に中国からの)サーバへの攻撃によりサーバ(ゲームサーバ、Webサーバ)が不安定になることもあります。
# あくまで運営からの発表によればですが。
また、外部(インターネット)からアクセス可能なサーバを管理している方なら分かると思いますが、
脆弱性を狙った種類の攻撃を始めとして長期間運用しているサーバは何らかの攻撃を受けます。
今回のso-netへの攻撃と前後して、他社のサービスも同様の攻撃を受けているのではないかと思っているのですが。
そのうち色んなところから報告が出てきたりしませんかね。
ユーザーへの注意喚起 (スコア:1, 興味深い)
これに関して言えばソネットはネガティブなニュースをgif画像にして出すような事をやってますね。
検索にかかって広まることが自社イメージを損なうと考えているんでしょうかね。
Re: (スコア:0)
NTT系も多いですね。 > 画像でリリース
.pdfや.docをテキスト化して検索に引っかかるようにしてくれてるGoogle先生が
画像もOCRで処理してくれればいいのに…
Re:ソニー系列 (スコア:1, 興味深い)
ハッカーに喧嘩売ったから…じゃなくて単なる便乗犯じゃないでしょうか
私も便乗でソニー系列の問題をIPAに報告したりしましたし
Re:ソニー系列 (スコア:1)
某ゲハ的にいえば妊娠に近いから安心していたのですが、プロバイダがSo-netなのを忘れていましたよ・・・
まあ実際には他の方が仰られているように、So-netから直接洩れたわけでは無さそうですが、メーラーの設定がまだAPOPだった気がするので、あとで確認しなきゃ。
# 因みに体型的にも妊娠なのでID
Re: (スコア:0)
・常に他のものと比較しつづけ自分が優位であると確認しないと落ち着かない人
・異なる立場の人間であっても、自分と異なる意見を持つ場合、自分色に世界を染めなければ落ち着かない人
・他人が自分が知らない、または異なることで娯楽で楽しんでいると、許せないまたは落ち着かない人
・不快や不愉快を友人とし、それらの感情の表現に躊躇いがない人
等々。
上記三つくらい当てはまらないとゲハな人達の仲間入りとは言えないですよ。
Re: (スコア:0)
Re: (スコア:0)
ぼくはちまちゃん! こんにちはこんにちは!!
こうですか?
APOP (スコア:1, 興味深い)
そういえば以前So-netはAPOPが使えた(今はPOP3+SSLが使えています)のですが、特に使えなくなったというアナウンスもないので、生パスワードをメールサーバーに置いたままなんですよね。きっと。
# ポイントは残っていたけどAC
Re: (スコア:0)
RADIUSやLDAPで認証する仕組みを知らないのか。
普通はリーフノードにユーザパスワードなんて置かないよ。
あと、平文保存というならAPOP使えなくてもCRAM-MD5や
Digest-MD5を採用しているISPだって平文保存しているはず。
so-netといえば (スコア:1, 興味深い)
Re: (スコア:0)
これって何の不備? (スコア:0)
設定できるIDやパスワードが短いんですかね?
パスワードの変更を促さないから?
認証サービスが短時間でレスポンスを返すから?
よく分からん。
Re:これって何の不備? (スコア:1)
パスワードアタックをスルーしてた時点でSo-netの不備じゃないですかねぇ。
Re: (スコア:0)
特定のIPからの集中したパスワードアタックの時点でアクセス遮断?
→結局長い期間やられるだけ
パスワードをある回数以上間違えた時点で数時間アカウントフリーズなどの仕組み
→やっぱり結局長い期間やられるだけ
例えば累計でありえない回数(1000回とか10000回)のパスワードトライがあったら
特定のIPアクセス遮断するってのが正解?
でもIDとパスワードが同じユーザの洗い出しであれば、検出した時点で既に数ユーザ
はバレている。
IDとパスワードが同じユーザを許していたのか禁止していたのかよく分からんし。
Re: (スコア:0)
パスワードを固定してIDのほうを変えていくアタックに有効な手段ってありましたっけ?
10000人中128人が同じパスワードを使ってたというのはありそうな気も。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
かなり信頼性の高いID - passwordのペアを持ってたということなのでは?
PlayStation Networkからパスワードが漏れた件とは関係ないんでしょうかね?
Re:これって何の不備? (スコア:1, すばらしい洞察)
一万人中、パスワードがIDと同じという馬鹿が128人ぐらいはいそうな気がしますっ。
お約束 (スコア:0)
Re: (スコア:0)
うんうんいないよね。面白いよね。
Re: (スコア:0)
パスワードがpasswordの奴も100人くらい居そうです。
で、passw0rd にしていて自己満足してる人も28人ぐらいは...
Re: (スコア:0)
So-netのIDは必ず"@"が含まれ、かつパスワードには"@"は使えないので
さすがにそれはないです。
まあ、その反面ID≒メールアドレスなのでIDリストは潤沢に出回って
いる(推測不要)んですけどね。
Re: (スコア:0)
> PlayStation Networkからパスワードが漏れた件とは関係ないんでしょうかね?
同じID、パスワードを使ってアタックするのは基本だから、無いとは言えない
サンプルが128個もあるのだから、そのあたりはすぐに分かると思うけど
Re: (スコア:0)
"短い"かどうかは判断が分かれるかもしれませんが、
いまどき英数字以外で、'-'(ハイフン)と'_'(アンダーバー)しか使えないのはどうかと…
パスワードについて [so-net.ne.jp]
一方タイのソニーでは (スコア:0)
そのころタイのソニーでは公式サーバ内にフィッシングサイトが作られちゃってました(爆) [esuteru.com]
馬鹿だろ、もう・・・
Re: (スコア:0)
ゴミを張るな
#内容は別