アカウント名:
パスワード:
- IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。- 受け取りはコンビニでok- お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
良くない点はもちろんあるし、そこ自体は擁護とかせんけど、理由はあるようだ一応、これは機種変更の場合らしいとのこと(ソース失念)
> - IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
2要素認証はあったけどオプションだった(これ自体はAmazon他のショップでも同程度じゃないかという気がせんでもないが...)
対策->2要素強制にするとからしい
> - 受け取りはコンビニでok
同上(電話としてどうなんだ、というのはわかるが、機種変更なのでSIMはないから?)
対策->今は不可になってるとのこと
> - お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
買い物の1つとして、電話が使えない場合を考えると、docomoアドレス(SMSも同じ)には送れないので、代替としてPCアドレス、もしくは指定のアドレスに送る機能があるのでそこを突かれたらしい。
たぶん、登録アドレスだけだったとしても、パスワードが漏れてたら変更できちゃうし、その意味では特別弱いわけじゃないとも言えるのかなあ...# 設定変更で2要素認証必須とかなら別なんだけど
対策->発表にはなさそう?
あとドコモオンラインショップ側の穴という認識っぽいですね。
docomoの契約変更とかと共通の処理プロセスに相当しそうなので、金銭やら物品の授受が即座に発生することを考えるとたしかにまあそうかなあ...
>一応、これは機種変更の場合らしいとのこと(ソース失念)
ソースはこれ。
商品の受取方法 | 購入・ご利用ガイド | ドコモオンラインショップ | NTTドコモ [mydocomo.com]
他のショップだと、IPアドレスが変わったら念の為本人確認させる仕組みとかあったりしたと思うけどまぁそれも溜まってるポイントだとスルーするとかで楽天のポイント盗まれたりの事件はあったね。その時でもドコモは十分学ぶ時間あったんだけどね
> 対策->2要素強制にするとからしい
スマホを買いに行くスマホがない
>> - お買い物した通知は、購入時に指定されたメールに届き、本人には届かない>買い物の1つとして、電話が使えない場合を考えると、docomoアドレス(SMSも同じ)には送れないので、代替としてPCアドレス、もしくは指定のアドレスに送る機能があるので
代替を指定した場合でも、両方に送るようにすればいいんじゃないか?
ギフトサービスってこういう仕組みのが多いけど、どれぐらい不正購入あるんだろうか。
その仕様だと、帰省中や長期出張中などにスマホ無くしたときに新しいスマホが買えて便利だったんですよ
> IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。SMS認証必須だと、スマホ無くしているときに新しいスマホが買えない
> 受け取りはコンビニでok契約住所での受け取り必須だと、帰省中や長期出張中など自宅に居ないときに新しいスマホが買えない
> お買い物した通知は、購入時に指定されたメールに届き、本人には届かない通知先がスマホのメールアドレスだと、スマホ無くして
ふつうにSIMロックかかってないスマホかえばいいじゃん。バカなの?
どっちが馬鹿なんだろう月々サポートを受けられないので、4~5万損しますよ
でも使用料で4~5万以上高いですよ。
> でも使用料で4~5万以上高いですよ。
MVNOと比べて、ですか?docomoなどの3キャリア(とサブブランド)は通信の品質がMVNOとは格段に違いますMVNOではよくて数百Kbpsしかでない昼休み時間帯も、docomoなら最低数十Mbps以上(場合によっては100Mbps以上)出ますからね
そもそも光より高いくせに遅い回線のスピードにこだわる意味がわからない毎月5G近く捨てている身で言わせてもらうと何にそんなに使ってるの?
流石に有線と無線を無視するのは難癖過ぎる
無線みたいな低速回線になぜそんなにお金払うの?ってことじゃないですか?
4、5万が惜しいならスマホなくさなければいいんじゃない。
そんなにスマホなくすの?
「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。
> 「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。「秘密の質問」の答えでパスワードリセットができるのが危険なのであって、「秘密の質問」の答えを追加認証で求めるのは危険ではありませんその区別すらできないんですね
> またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。何言ってるんだろ多くの人はメールアドレスとパスワードを使いまわししているから、それが漏えいしてリスト型攻撃の被害に遭うのですよスラドとか占いとか懸賞サイトとかそういうサイトから漏えいするんです住所や電話番号まで登録しているサイトは通販サイトなどごく一部で、大抵が楽天・ヨドバシ・Amazon・Yahooショッピングあたりの大手なのでそこまで漏えいリスクは高くありません
少なくともそういった情報で追加認証すればリスト型攻撃のリスクは数十分の1になります
「秘密の質問」の答えをサイトごとに変えないと、結局リスト型攻撃でやられるので、今回の攻撃を防ぐ役には立たないのでは?
「秘密の質問」自体が色々パターンがあるので、「秘密の答え」は全てのサイトで共通にはなりません。たまたま漏洩したサイトと同じ秘密の質問でなければ問題ありません。秘密の質問の問題点としては、実名でSNSをやっている場合に答えが推定されてしまうことが挙げられますが、被害者の数を大幅に減らすことはできます。
「秘密の質問」自体が色々パターンがあるので、「秘密の答え」は全てのサイトで共通にはなりません。
パスワードマネージャーでどうにかなるパスワードと違って、サイトごといちいち覚えるの面倒だからすべて同じ答えにしてるわ
危険という意味なら、SMSの確認コード送付方式も危険というのがもはや「常識」になりました
https://twitter.com/HiromitsuTakagi/status/1029735515312910337 [twitter.com]> SMSの確認コード送付方式だと、結局利用者が手でWeb画面に確認コードを入れるから、偽サイトでも入れてしまう人が出てしまう。> 先般の偽佐川急便サイトで、Apple IDにキャリア決済の設定をさせた事案で、その手口が既に使われたことから、今後広がってくると予想。
結局、ユーザ側のリテラシーが低かったらどんな手法をとっても完全ではありません
いやいやいやいや。もう少し理解して書いてくださいよ。引用されてるものについては、SMSに限らずTOTPなども同じ扱いで論じてるはず。
SMSの確認コードがよくないというのはそうなんだけど、その理由はSIMのクローンが作れて乗っ取られるからもう使うのはやめとけ、ってなってるだけ。
Man in the Middleならどんな方式も意味をなしません。
> いやいやいやいや。もう少し理解して書いてくださいよ。なんでリンク先読まないで書くの?
> SMSの確認コードがよくないというのはそうなんだけど、その理由は> SIMのクローンが作れて乗っ取られるからもう使うのはやめとけ、ってなってるだけ。違います高木浩光氏は、『これ、米国では使われていないのは、米国のキャリアのSMSが「SMSインターセプト」の脆弱性があるからよね。』とした上で、他のツイートでは日本にはSMSインターセプトの脆弱性がないとしている。日本では問題ないから、日本では騒がなくていいという立場。
また、https://twitter.com/Hir
いや、それはどれも便利じゃなくて特殊事情だろそんなレアケース、特殊ケースのためにサービス準備するほうがオカシイ不正との天秤ですぐ却下だろ
例えば、家電は壊れたり無くしたりしたタイミングで買い替えるでしょそれと同じで「レアケース、特殊ケース」ではない
スマホのスペックが上がってきていてハードゲーマー以外は現状に満足している人が多く2年毎に買い替える人がいる一方、面倒なので壊れたり無くしたときに買い替えるという人も一定数いる
数日前にdocomoは不正購入対策でSMSでの二段階認証必須にしたけど、いずれ他のセキュリティ対策採って方法買えると思うよスマホが無いと電話番号を維持したまま新スマホを買えないなんてのは愚策でしかない
今のままだと、スマホが壊れたりしたらdocomoショップ行って何時間待ちで手続きするか、ケータイ補償使うか(加入している場合)しかない一方、MNPはお客様センター架電で契約情報を口頭で伝え4桁のネットワーク暗証番号で出来るので、このままじゃスマホ壊した人が他社にMNPで逃げてしまう
あほ過ぎだろうって、こういう人がいるからキャリアも儲かるんだな。家電が壊れたケースもレア&特殊ケースだよ。うちの冷蔵庫、洗濯機、全部10年単位でもつぞ。
家電を無くすってどうやって?盗難?
無くしたときに補償サービスじゃなくて新しいの買うってどんだけお大尽ですか?MVNOに対する明らかな優位なんだから保証外すとか無いでしょ?
無くしたタイミングによりますね買ってから数か月のタイミングなら補償サービス使います
しかし、月々サポ―トが既に切れているタイミングなら、もしくはもうじき切れるタイミングなら新しいスマホを買った方が得なので買います
10万円程度でお大尽呼ばわりされるのかー
保証外すというか入ってませんけど…ダメなの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
ナニコレ (スコア:2, 参考になる)
- IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
- 受け取りはコンビニでok
- お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
Re:ナニコレ (スコア:2)
良くない点はもちろんあるし、そこ自体は擁護とかせんけど、理由はあるようだ
一応、これは機種変更の場合らしいとのこと(ソース失念)
> - IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
2要素認証はあったけどオプションだった(これ自体はAmazon他のショップでも同程度じゃないかという気がせんでもないが...)
対策->2要素強制にするとからしい
> - 受け取りはコンビニでok
同上(電話としてどうなんだ、というのはわかるが、機種変更なのでSIMはないから?)
対策->今は不可になってるとのこと
> - お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
買い物の1つとして、電話が使えない場合を考えると、docomoアドレス(SMSも同じ)には送れないので、代替としてPCアドレス、もしくは指定のアドレスに送る機能があるのでそこを突かれたらしい。
たぶん、登録アドレスだけだったとしても、パスワードが漏れてたら変更できちゃうし、その意味では特別弱いわけじゃないとも言えるのかなあ...
# 設定変更で2要素認証必須とかなら別なんだけど
対策->発表にはなさそう?
あとドコモオンラインショップ側の穴という認識っぽいですね。
docomoの契約変更とかと共通の処理プロセスに相当しそうなので、金銭やら物品の授受が即座に発生することを考えるとたしかにまあそうかなあ...
M-FalconSky (暑いか寒い)
コンビニ受取できるのは機種変更時だけ (スコア:3, 参考になる)
>一応、これは機種変更の場合らしいとのこと(ソース失念)
ソースはこれ。
商品の受取方法 | 購入・ご利用ガイド | ドコモオンラインショップ | NTTドコモ [mydocomo.com]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
他のショップだと、IPアドレスが変わったら念の為本人確認させる仕組みとかあったりしたと思うけど
まぁそれも溜まってるポイントだとスルーするとかで
楽天のポイント盗まれたりの事件はあったね。
その時でもドコモは十分学ぶ時間あったんだけどね
Re: (スコア:0)
> 対策->2要素強制にするとからしい
スマホを買いに行くスマホがない
Re: (スコア:0)
>> - お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
>買い物の1つとして、電話が使えない場合を考えると、docomoアドレス(SMSも同じ)には送れないので、代替としてPCアドレス、もしくは指定のアドレスに送る機能があるので
代替を指定した場合でも、両方に送るようにすればいいんじゃないか?
Re: (スコア:0)
ギフトサービスってこういう仕組みのが多いけど、どれぐらい不正購入あるんだろうか。
スマホ無くしたときにも買えて便利だったのに (スコア:0)
その仕様だと、帰省中や長期出張中などにスマホ無くしたときに新しいスマホが買えて便利だったんですよ
> IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
SMS認証必須だと、スマホ無くしているときに新しいスマホが買えない
> 受け取りはコンビニでok
契約住所での受け取り必須だと、帰省中や長期出張中など自宅に居ないときに新しいスマホが買えない
> お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
通知先がスマホのメールアドレスだと、スマホ無くして
Re: (スコア:0)
ふつうにSIMロックかかってないスマホかえばいいじゃん。バカなの?
Re: (スコア:0)
どっちが馬鹿なんだろう
月々サポートを受けられないので、4~5万損しますよ
Re: (スコア:0)
でも使用料で4~5万以上高いですよ。
Re: (スコア:0)
> でも使用料で4~5万以上高いですよ。
MVNOと比べて、ですか?
docomoなどの3キャリア(とサブブランド)は通信の品質がMVNOとは格段に違います
MVNOではよくて数百Kbpsしかでない昼休み時間帯も、docomoなら最低数十Mbps以上(場合によっては100Mbps以上)出ますからね
Re: (スコア:0)
そもそも光より高いくせに遅い回線のスピードにこだわる意味がわからない
毎月5G近く捨てている身で言わせてもらうと何にそんなに使ってるの?
Re: (スコア:0)
流石に有線と無線を無視するのは難癖過ぎる
Re: (スコア:0)
無線みたいな低速回線になぜそんなにお金払うの?ってことじゃないですか?
Re: (スコア:0)
4、5万が惜しいならスマホなくさなければいいんじゃない。
Re: (スコア:0)
キャリア様が用意してくださった神割引プランを有難く使わせて頂いて4、5万得した気分になってる俺って最高にクレバーでかっけー、
な養分にそんなこと言っちゃダメよ。
Re: (スコア:0)
そんなにスマホなくすの?
Re: (スコア:0)
「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。
またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。
馬鹿はどっちだろう (スコア:0)
> 「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。
「秘密の質問」の答えでパスワードリセットができるのが危険なのであって、「秘密の質問」の答えを追加認証で求めるのは危険ではありません
その区別すらできないんですね
> またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。
何言ってるんだろ
多くの人はメールアドレスとパスワードを使いまわししているから、それが漏えいしてリスト型攻撃の被害に遭うのですよ
スラドとか占いとか懸賞サイトとかそういうサイトから漏えいするんです
住所や電話番号まで登録しているサイトは通販サイトなどごく一部で、大抵が楽天・ヨドバシ・Amazon・Yahooショッピングあたりの大手なのでそこまで漏えいリスクは高くありません
少なくともそういった情報で追加認証すればリスト型攻撃のリスクは数十分の1になります
Re: (スコア:0)
「秘密の質問」の答えをサイトごとに変えないと、結局リスト型攻撃でやられるので、今回の攻撃を防ぐ役には立たないのでは?
Re: (スコア:0)
「秘密の質問」自体が色々パターンがあるので、「秘密の答え」は全てのサイトで共通にはなりません。たまたま漏洩したサイトと同じ秘密の質問でなければ問題ありません。
秘密の質問の問題点としては、実名でSNSをやっている場合に答えが推定されてしまうことが挙げられますが、被害者の数を大幅に減らすことはできます。
Re: (スコア:0)
パスワードマネージャーでどうにかなるパスワードと違って、サイトごといちいち覚えるの面倒だからすべて同じ答えにしてるわ
Re: (スコア:0)
危険という意味なら、SMSの確認コード送付方式も危険というのがもはや「常識」になりました
https://twitter.com/HiromitsuTakagi/status/1029735515312910337 [twitter.com]
> SMSの確認コード送付方式だと、結局利用者が手でWeb画面に確認コードを入れるから、偽サイトでも入れてしまう人が出てしまう。
> 先般の偽佐川急便サイトで、Apple IDにキャリア決済の設定をさせた事案で、その手口が既に使われたことから、今後広がってくると予想。
結局、ユーザ側のリテラシーが低かったらどんな手法をとっても完全ではありません
Re: (スコア:0)
いやいやいやいや。もう少し理解して書いてくださいよ。
引用されてるものについては、SMSに限らずTOTPなども同じ扱いで論じてるはず。
SMSの確認コードがよくないというのはそうなんだけど、その理由は
SIMのクローンが作れて乗っ取られるからもう使うのはやめとけ、ってなってるだけ。
Man in the Middleならどんな方式も意味をなしません。
Re: (スコア:0)
> いやいやいやいや。もう少し理解して書いてくださいよ。
なんでリンク先読まないで書くの?
> SMSの確認コードがよくないというのはそうなんだけど、その理由は
> SIMのクローンが作れて乗っ取られるからもう使うのはやめとけ、ってなってるだけ。
違います
高木浩光氏は、
『これ、米国では使われていないのは、米国のキャリアのSMSが「SMSインターセプト」の脆弱性があるからよね。』
とした上で、他のツイートでは日本にはSMSインターセプトの脆弱性がないとしている。
日本では問題ないから、日本では騒がなくていいという立場。
また、https://twitter.com/Hir
Re: (スコア:0)
いや、それはどれも便利じゃなくて特殊事情だろ
そんなレアケース、特殊ケースのためにサービス準備するほうがオカシイ
不正との天秤ですぐ却下だろ
スマホを壊れたり無くしたりしたタイミングで買い替えるのは普通でしょ (スコア:0)
例えば、家電は壊れたり無くしたりしたタイミングで買い替えるでしょ
それと同じで「レアケース、特殊ケース」ではない
スマホのスペックが上がってきていてハードゲーマー以外は現状に満足している人が多く
2年毎に買い替える人がいる一方、面倒なので壊れたり無くしたときに買い替えるという人も一定数いる
数日前にdocomoは不正購入対策でSMSでの二段階認証必須にしたけど、いずれ他のセキュリティ対策採って方法買えると思うよ
スマホが無いと電話番号を維持したまま新スマホを買えないなんてのは愚策でしかない
今のままだと、スマホが壊れたりしたらdocomoショップ行って何時間待ちで手続きするか、ケータイ補償使うか(加入している場合)しかない
一方、MNPはお客様センター架電で契約情報を口頭で伝え4桁のネットワーク暗証番号で出来るので、このままじゃスマホ壊した人が他社にMNPで逃げてしまう
Re: (スコア:0)
あほ過ぎだろうって、こういう人がいるからキャリアも儲かるんだな。
家電が壊れたケースもレア&特殊ケースだよ。
うちの冷蔵庫、洗濯機、全部10年単位でもつぞ。
Re: (スコア:0)
家電を無くすってどうやって?盗難?
Re: (スコア:0)
無くしたときに補償サービスじゃなくて新しいの買うってどんだけお大尽ですか?
MVNOに対する明らかな優位なんだから保証外すとか無いでしょ?
Re: (スコア:0)
無くしたタイミングによりますね
買ってから数か月のタイミングなら補償サービス使います
しかし、月々サポ―トが既に切れているタイミングなら、もしくはもうじき切れるタイミングなら
新しいスマホを買った方が得なので買います
Re: (スコア:0)
10万円程度でお大尽呼ばわりされるのかー
Re: (スコア:0)
保証外すというか入ってませんけど…ダメなの?