パスワードを忘れた? アカウント作成
13969323 story
インターネット

クロネコメンバーズの二段階認証、スマホ向けログイン画面には実装されていなかった 49

ストーリー by hylom
どうしてこうなった 部門より

先日ヤマト運輸の顧客向けサービス「クロネコメンバーズ」が不正アクセスを受ける事件があった(過去記事)。このサービスでは二段階認証によるセキュリティ強化が行われたものの、携帯端末向けサイトやアプリでは二段階認証を設定していても二段階認証を行わずにログインすることができたという(Togetterまとめ)。

クロネコメンバーズの「よくあるご質問(FAQ)」ページによると、「ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません」とのことだが、モバイルサイトにPCからアクセスした場合でも2段階認証は求められないようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年07月29日 18時58分 (#3660105)

    正面玄関が2つあって、片方にしか鍵がなかった
    というとこだねえ。

    • by Anonymous Coward on 2019年07月30日 9時57分 (#3660358)

      二世帯住宅かな。

      親コメント
    • by Anonymous Coward

      2段階認証はチェーンロックのイメージがしっくりくる。
      鍵が盗まれても(パスワードが漏れても)、
       家人が中から開けないと(登録済み端末等から別途許可しないと)、
        家屋への侵入は出来ません(ログイン認証は成功しません)。

      で、今回は、表玄関にはチェーンロックがあったけど、
      同じ鍵を使う勝手口にはチェーンロック付けてなかったよ、という感じか。
      #まあ、窓の話は忘れよう。

      というか2段階認証はどこにあったんだ?
      携帯/モバイルサイトっていうのはガラケー用のサイトって意味?
      クロネコヤマトは今もiモードサイトあるよね?

      ちょっと整理する:
      - PCブラウザ→PC用ログインサイト 〇
      -

      • by Anonymous Coward

        スマホ用ログインページというか、サイトがある。
        PC用と比較すると一見同じに見えるがソースが違う。

        • by Anonymous Coward

          なにゆえ別なのか。レスポンシブデザイン全否定だな。

          • by Anonymous Coward

            そんなサイト、いくらでもあるだろ。
            PC用, スマホ用, ガラケー用, AMP用で別URLにするの、止めてくれ。
            1情報1URLにろ。

      • by Anonymous Coward

        そもそもスマホアプリって、
        パスワードを保存しててその都度自動入力してログインさせてるもんな。
        トークンとかそういう意識はゼロだし。これだけでもダサいと思ってしまう。

        クロネコは割と頑張ってる方だけど、やっぱりちゃんとしたIT専業チームを持ってないとこは残念実装になる。

    • by Anonymous Coward

      立派な正面玄関はあったんだけど、
      鍵開けるのが面倒だか通用口も作りました。
      鍵を開ける手間がかからなくてとってもベンリ
      #バケツで再処理して効率化の精神

  • by Anonymous Coward on 2019年07月29日 18時58分 (#3660106)

    > 「ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません」とのことだが、モバイルサイトにPCからアクセスした場合でも2段階認証は求められないようだ。

    いや、それはそうでしょう。そう書いてある。
    じゃなくて、hylomさんが指摘しようとしたのは、その後ろの部分ですよね↓

    ※2段階認証を設定しておくことで、お使いいただいているパソコンなどから第3者に不正にログインされるリスクを減らすことができます。

    とのことだが、モバイルサイトにPCからアクセスした場合でも2段階認証は求められないようだ。(PCでのリスクは減らないようだ)

    • by Anonymous Coward

      何のための二段階認証なのか。

      好意的に解釈するなら、パスワードロックかけずに離席したPCから、
      パスワード保存したブラウザからのログインを防げるくらい?

      • by Anonymous Coward

        その端末にメール来るよね??

      • by Anonymous Coward

        攻撃者へのブラフにはなるかなー?
        ならないか?2段階設定が一部ユーザなら結局脆弱なアカウントへの突破効率は大差ないか。

        じゃあデコイかなんかだな、よくわからんが。きっと何かの意味があるんだ。

      • by Anonymous Coward

        クロネコメンバーズ2段階認証について
        http://www.kuronekoyamato.co.jp/webservice_guide/twostepauth.html [kuronekoyamato.co.jp]
        を読むと普通にリスト型攻撃を想定しているようで、公式FAQとちぐはぐだし、

        普段ご使用の端末(ブラウザ(※2))を信頼できる端末(ブラウザ)として登録することにより、ワンタイムパスワードの入力を省略することも可能

        だから、たぶん大抵の人は信頼できる端末として登録しちゃってるんじゃないかと……。

      • by Anonymous Coward

        > 何のための二段階認証なのか。

        ちゃんとやってますアピール以外の何物でもない。

    • by Anonymous Coward

      二段階が回避可能と知っている攻撃者やスマホ使ってる攻撃者やには意味がないが、
      偶々パスワードを得た攻撃者が何も考えずPCからアクセスしようとした場合は検知&阻止ができる。
      リスクが少しは減ってる。ほんの少しだけ。

  • by Anonymous Coward on 2019年07月29日 20時06分 (#3660139)

    金融系サービスや、クレカ登録したサイトならともかく、
    アカウント作ってある雑多なサイト群に二段階認証なんて設定されても面倒なだけ

    重要なのは、アカウント作ってるすべてのサービスに対して、全部違うパスワードを設定すること

    パスワードマネージャ使ってランダムパスワード設定すればいいだけ

    • by Anonymous Coward on 2019年07月29日 20時18分 (#3660149)

      クレカ登録したサイトならともかく

      クロネコペイ
      ヤマト運輸のクロネコメンバーズに登録されたお届け先やクレジットカード情報を利用して、かんたんにお買い物ができます。
      https://www.yamatofinancial.jp/consumer/payment/id/index.html [yamatofinancial.jp]

      親コメント
    • by Anonymous Coward on 2019年07月29日 20時19分 (#3660151)

      実装がまともだったならば、ID連携して、IDプロバイダー1つの2段階認証のみで済む、
      パスワード管理ツールが信用に足りるならば、パスワード管理ツールのみで済む、
      という理想への過渡期ですからな。

      変化に追随出来る者が生き残る。
      これだけ!と決め付けることが、最も賢くない選択だ。

      親コメント
      • by Anonymous Coward

        信用に足りるパスワード管理ツール
        - メモ帳
        - メジャーなブラウザ
        これで十分。

        • by Anonymous Coward

          Microsoft Excel はダメですか?

        • by Anonymous Coward

          肝心のパスワード生成の話が欠けている。
          まあ、Powershellの[System.Web.Security.Membership]::GeneratePassword関数使えばよろし。

          あと、メモ帳は使う人が多いから、拡張子は変えて…当然ファイル名にpasswdとかshadowとか絶対入れちゃだめよ…、
          最低でもEFSで暗号化、可能なら外部暗号化ストレージに保存して、そのストレージのパスワード
          …いわばマスターパスワードと言える…を強固なものにしておくとよい。

          なお、ブラウザのパスワード管理ツールって、容易にエキスポートできないから、
          実はPC移行/アカウント再設定時のデータ移行時やブラウザ異常時のBCPが面倒。
          それに

          • by Anonymous Coward

            Google Chrome は

            * パスワードを登録するフォーム画面で(100%じゃないけど)パスワードを生成してくれる。
            * chrome://settings/passwords からパスワードを export することが出来る。
            * 同期パスフレーズを設定すれば、クラウドにはパスフレーズが暗号化されたデータのみが保存される。

            まあ、Gooogle をどの程度信用できるはは人によって違うが、いわゆるパスワード管理ソフトと同程度には信用してもいいと思う。

    • by Anonymous Coward on 2019年07月29日 21時12分 (#3660170)

      Omni7「そのとおり」

      親コメント
      • by Anonymous Coward

        Omni7ちゃんは2段階認証以外のところでもボロボロなので、出てこないでね^^

    • by Anonymous Coward on 2019年07月30日 0時51分 (#3660255)

      > パスワードマネージャ使ってランダムパスワード設定すればいいだけ

      パスワードマネージャのオススメ教えてください。なるべく安いやつで。

      親コメント
      • 1password 使い始めて半年程です。
        まぁいいんじゃないかなーって感じ。

        高いか安いかは、その人の価値観だけど、、、
        まさに今までテキストファイル+暗号化してPWリスト管理してたのが、半自動化されてかなり楽になりました。個人的には、使用料払う価値ありと思ってます。

        親コメント
      • by Anonymous Coward

        別にツール使わずとも、キーボードをぐちゃぐちゃっと打ってパスワード作ればいいのよ。
        そしてデスクトップの「パスワード.txt」に保存していけばいいのよ。

        • by Anonymous Coward

          利用サイトに「パスワードを忘れたので再設定する」機能があるなら、保存すら不要です。

      • by Anonymous Coward

        > パスワードマネージャ使ってランダムパスワード設定すればいいだけ

        パスワードマネージャのオススメ教えてください。なるべく安いやつで。

        ブラウザーのパスワードマネージャでいいんじゃないかな。
        ドメインが違うと出てこないので、フィッシング対策にもなる。

    • by Anonymous Coward

      ID×パスワード

      なんだから、メールアドレスをIDとして強制的に設定するようなサービスが悪い
      害悪でしか無い

    • by Anonymous Coward

      >アカウント作ってるすべてのサービスに対して、全部違うパスワードを設定すること

      これが無理だからだよ。
      できてる人3%もいないんじゃないかな。
      だからそれができてないおばかさんを守るために2段階認証がある。
      といっても、たぶん現実はその3%の人はみんな2段階認証を有効にして、
      そのほかの人たちは有効にしてないんだよね・・・

  • by Anonymous Coward on 2019年07月29日 20時16分 (#3660145)

    > ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません

    ガラケー時代の、「IPアドレス帯域」でPCからのアクセスを弾ける(ことになっていた)時代の発想のままスマホ向けにサービスを拡張したんじゃねーかな

    • by Anonymous Coward

      フツーに端末登録みたいなの出来たんじゃなかったっけ。

  • by Anonymous Coward on 2019年07月29日 21時01分 (#3660165)

    これまでは「企業側の責任ではないので被害公表の必要はない」「ユーザーへ注意喚起のために公表するべき」「大手では不正試行が茶飯事なので集計発表してたらキリがない」「ぶっちゃけどうでもいい」という反応だったものが、被害の公表によりシステム上の脆弱性が広く認知される前例ができてしまいましたね。

    • by Anonymous Coward

      良いことだ。

    • by Anonymous Coward

      「公表しなければヘーキヘーキ」→「GitHubに丸上げしてました」
      なんてオチもありうるぞ

  • 最大パスワード長 たったの12文字ってなんやねん?
    おい笑ってるイオン、UFJ、てめーらもだ。
    てめーらに至っては今時8文字とか10文字とかあほかよ。

    • よし!五段階認証を導入しよう!

      親コメント
      • by Anonymous Coward

        どっかのなにかで実質3段階認証のサービスが有ったな。
        結果?
        そりゃ既にどっかのなにかって感じでしか覚えていない位で御察し。
        ただただ面倒だったって悪印象だけは覚えていると。

      • by Anonymous Coward

        今、組み合わせられそうなものを列挙すると…
        - (サーバー側でのログイン意図確認) パスワード
        - (サーバーからの本人確認)  ワンタイムパスワード認証(経路はメール・SMS・Autenticator等)
        - (端末上での本人確認)  指紋認証・顔認証(端末利用時の。もしくは端末へのパスワードログインや、パスワードマネージャーのマスターパスワードなども)
        - (ブラウザ等UIの正当性確保) HTTPSクライアント認証(Mutual TLS…よくあるHTTPSでなくてクライアント証明書インストール必須の奴ね。EDIではよくある)
        - (接続回線の正当性確保)   VPN接続認証
        - (回線に接続する端末の正当性確保) IMEIを利用した接続認証(IIJ等がやっててSIM差し替えをブロックする奴、既に同じLAN内ならRADIUS認証が代わりになるかな)

        まあ、端末上での本人確認含めるとかVPNとか無理やり感あるし、
        機能が無駄に重複してもいるが、今でも5段階ならあり得なくはないか。

    • 一部デマや誤解を招く情報が混じっている。正確には次の通り。
      - クロネコメンバーズ [kuronekoyamato.co.jp]:
       パスワード桁数:6~12桁
       クロネコID桁数:自由に決められる 6~60桁
      - イオンインターネットバンキング:
       パスワード桁数:6~12桁 [aeonbank.co.jp]
       契約者ID桁数 :固定された10桁数字 [aeonbank.co.jp]
      - イオンスクエア [aeon.co.jp](インターネットバンキングじゃない方):
       パスワード桁数;6~8桁
       イオンスクエアメンバーID:自由に決められる6~40桁
      - 三菱UFJ銀行:
       IBログインパスワード桁数:8~16桁 [bk.mufg.jp]
       契約番号(ログインID)  :固定された8桁もしくは10桁の数字

      ちなみに、他の銀行に目を向けると、
      - 楽天銀行のログインパスワード:8~12桁 [rakuten-bank.net]
      - じぶん銀行の〃:6~16桁 [jibunbank.co.jp]
      - ソニー銀行の〃:6~8桁(2010頃) [moneykit.net] ※まさか今も? [moneykit.net]
      と銀行名の間違いを除けば、指摘の本筋は間違ってない。

      どうも銀行は、取引のために別の第2暗証番号やワンタイムパスワードを併用しているからか、
      情報を見られるだけならカチコチにしなくて構わないと考えている節がある。
      でも、今時、桁数倍くらいには増やして欲しいよね。
      うちの社内じゃ最低パスワード桁数が16桁~だよ。

      こう見ると、クロネコメンバーズは、IDを専用の長いものに変えることで、自衛できるかもしれん。
      配信されるメールにも氏名のみが書かれていて、オンラインではログイン時以外にIDを用いる場面がない。
      ただ、営業所の端末や、配達員の端末にはIDが表示されるから内部漏洩には意味がないが…といってもそれはそれで、
      長く分かりずらい方がよさそげである。

      親コメント
    • ハッシュ化したら元の長さはどれほど長かろうが問題ないはずなのに制限つけるってことは
      ハッシュではない方法で保存してるってことなのかな。
      さすがに100MBとかのサイズで送りつけられると面倒だろうから、最大長はあっていいと思うけど、最低でも50は欲しいな。

      親コメント
      • by Anonymous Coward

        最大12文字とかだとなんで?って思うけど、割と上限値の策定には困るってのはある。
        50とかだと、この50ってのはどっから出てきたんだ?とか言われる気がする。
        100とかだと、そんな長いパスワード使う奴いねーよwって空気が出るし、オーバースペックはそれはそれで仕様的には微妙な所があって、
        普通のユーザーが使う長さ、あまりユーザーを困惑させない長さ、辺りの判断に落ち着きがち。

        IPAあたりが何文字以上にしろやとかガイドライン出してくれると話を進めやすいのだが。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...