アカウント名:
パスワード:
サイバー空間ではガバガバだったんやな
頑張ってますアピールしやすい「見えやすいセキュリティ対策」には必死になる奴に限ってこういう被害を受けるまで重要性が理解できないセキュリティはガバガバってのはお約束。
もしかしてシステムの名前はNシステム?
20年近く前、日能研に通ってた時に登録した覚えがあるけど、うちのメアドも漏れたのかな?確か今も使ってる実家のプロバイダのメアドを登録した気がする。謝罪のメールが届いてなかったぞ。
うちは1月29日 17:39お知らせが来ました。
本メッセージは、流出した可能性があるメールアドレスに送らせていただいております。
と書いてあるので、該当しなかったのでは?
問題ない。善意の第三者が「あなたのアドレスが漏れた可能性があります。直ちに〇〇サイトにアクセスしてメアドと個人情報を入力してください」ってメールを送ってきてくれる。
# …善意???
Outlook.comとかGmailならエイリアス作れるから、サービス毎に作って使い分けてたのかな。A社から漏れた=A社に登録されたメールアドレス宛に登録してないはずの送信元から来た、とか。
#この辺りって自分でちゃんとやろうとするとめんどくさいんだよな…
ウチ、出来る限りエイリアス付けるようにしてるけど、ココは直アドレス宛に案内メールが来たので、エイリアスは登録時に弾く設定になってるサイトなんじゃないかな。(登録時に、正しいメールアドレス形式にしてください、と蹴られるサイトはよくある。)
そもそもエイリアスによる対策の実効性ってどうなんでしょうね。名簿業者?もエイリアスぐらい認識してるでしょうから、エイリアスを外してリストを加工できるでしょうし。
GmailやYahooメールみたいな見ただけでエイリアスだとパターンがわかるのは本体のメアドを推測できるけど、それ以外は無理じゃない。
エイリアス文字を + じゃなくしているサイトもあります。
「アカウント名.<適当な文字列>@ドメイン名」って宛先にすると<適当な文字列>を無視して、そのアカウント名で設定している別メールアドレスへ送付するところとか。
「.」は普通に使われる文字種なので、ほぼエイリアスとは判断できない。# よう考えるもんだ、と思ったことが。
登録する際に付けたエイリアスが付いていれば特定フォルダに移動するフィルタ書いて、何も付いていない物含め「それ以外のメアド宛」に届いたものはゴミ箱送りにすれば結構有効。
+の文字を登録させないサービスでは使えないけど、それはFromアドレスで別のフィルタを書くか、もしくはそんなに読む価値ないので一緒にゴミ箱送りにするかで大丈夫。
某企業の開発者合同セミナーに参加してから、迷惑メールが来続けた事があったな、そのエイリアス宛てに結構な迷惑メールが来るようになった。ゴミ箱に送るのに苦は無かったが、共催の会社にもメアド公開されるから漏洩ポイントが結局よく分からんかったっていう。
マメに+なんちゃら@とかやってるのは変人には一定数いると思う。
オンラインの穴があれば少なからずこういうリスクがあるのに、全く無知で招いた事件
内部犯行とかじゃなく古典的とも言えるSQLインジェクションってのが、情けないを通り越して無様。
サンリオエンターテイメントも去年SQLインジェクションでメールデータ漏洩しているんだよね。サンリオ役員的にはあまり大した被害と思っていない感じ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
Nセキュリティ (スコア:1)
サイバー空間ではガバガバだったんやな
Re: (スコア:0)
頑張ってますアピールしやすい「見えやすいセキュリティ対策」には必死になる奴に限って
こういう被害を受けるまで重要性が理解できないセキュリティはガバガバってのはお約束。
Re: (スコア:0)
もしかしてシステムの名前はNシステム?
漏れた期間が書いてない (スコア:0)
20年近く前、日能研に通ってた時に登録した覚えがあるけど、うちのメアドも漏れたのかな?
確か今も使ってる実家のプロバイダのメアドを登録した気がする。
謝罪のメールが届いてなかったぞ。
Re:漏れた期間が書いてない (スコア:1)
うちは1月29日 17:39お知らせが来ました。
本メッセージは、流出した可能性があるメールアドレスに送らせていただいております。
と書いてあるので、該当しなかったのでは?
Re: (スコア:0)
問題ない。
善意の第三者が「あなたのアドレスが漏れた可能性があります。
直ちに〇〇サイトにアクセスしてメアドと個人情報を入力してください」
ってメールを送ってきてくれる。
# …善意???
どうやってユーザーは気づいたか? (スコア:0)
Outlook.comとかGmailならエイリアス作れるから、サービス毎に作って使い分けてたのかな。
A社から漏れた=A社に登録されたメールアドレス宛に登録してないはずの送信元から来た、とか。
#この辺りって自分でちゃんとやろうとするとめんどくさいんだよな…
Re:どうやってユーザーは気づいたか? (スコア:1)
ウチ、出来る限りエイリアス付けるようにしてるけど、ココは直アドレス宛に案内メールが来たので、エイリアスは登録時に弾く設定になってるサイトなんじゃないかな。
(登録時に、正しいメールアドレス形式にしてください、と蹴られるサイトはよくある。)
Re: (スコア:0)
そもそもエイリアスによる対策の実効性ってどうなんでしょうね。
名簿業者?もエイリアスぐらい認識してるでしょうから、
エイリアスを外してリストを加工できるでしょうし。
Re: (スコア:0)
GmailやYahooメールみたいな見ただけでエイリアスだとパターンがわかるのは本体のメアドを推測できるけど、それ以外は無理じゃない。
Re: (スコア:0)
エイリアス文字を + じゃなくしているサイトもあります。
「アカウント名.<適当な文字列>@ドメイン名」って宛先にすると<適当な文字列>を
無視して、そのアカウント名で設定している別メールアドレスへ送付するところとか。
「.」は普通に使われる文字種なので、ほぼエイリアスとは判断できない。
# よう考えるもんだ、と思ったことが。
Re: (スコア:0)
登録する際に付けたエイリアスが付いていれば特定フォルダに移動するフィルタ書いて、
何も付いていない物含め「それ以外のメアド宛」に届いたものはゴミ箱送りにすれば結構有効。
+の文字を登録させないサービスでは使えないけど、それはFromアドレスで別のフィルタを書くか、
もしくはそんなに読む価値ないので一緒にゴミ箱送りにするかで大丈夫。
Re: (スコア:0)
某企業の開発者合同セミナーに参加してから、迷惑メールが来続けた事があったな、
そのエイリアス宛てに結構な迷惑メールが来るようになった。
ゴミ箱に送るのに苦は無かったが、共催の会社にもメアド公開されるから漏洩ポイントが結局よく分からんかったっていう。
マメに+なんちゃら@とかやってるのは変人には一定数いると思う。
なぜ分けないのか (スコア:0)
オンラインの穴があれば少なからずこういうリスクがあるのに、全く無知で招いた事件
手口が (スコア:0)
内部犯行とかじゃなく古典的とも言えるSQLインジェクションってのが、情けないを通り越して無様。
Re: (スコア:0)
サンリオエンターテイメントも去年SQLインジェクションでメールデータ漏洩しているんだよね。
サンリオ役員的にはあまり大した被害と思っていない感じ。