パスワードを忘れた? アカウント作成
2803861 story
マイクロソフト

GmailからHotmailへの移行を試したIT編集者、2週間で断念 61

ストーリー by headless
残念 部門より
insiderman 曰く、

英国のPC誌、PC Proの編集者がメインのWebメールをGmailからHotmailに移行する実験を行ったが、2週間で断念したとのこと(PC Proの記事本家/.)。

最近ではHotmailのスパムが3%以下であることをMicrosoftのプロダクトマネージャーから聞かされたPC Proの編集者 Barry Collins氏は、Hotmailへの移行実験を行うことを決意した。メッセージの振り分け・並べ替えやSkyDriveとの統合といった新機能を試すという目的もあったという。しかし、実験を始めて2週間後、Collins氏のHotmailアカウントからスパムが送信されているという報告がTwitterで相次いだ。HotmailにログインしたCollins氏は、アカウントがハックされ、すべての連絡先に攻撃用サイトへのリンクを記載したスパムが送信されていることに気づいたという。実験を開始したときにGmailの連絡先をインポートし、Facebook、LinkedInの連絡先とも連動させていたことから被害が大きくなったそうだ。

もうHotmailは信用できないというCollins氏だが、WebメールだけでなくXboxやWindows 8のログインにWindows Live IDを使用する点も不安に感じているという。なお、Collins氏は元のHotmailパスワードが「小文字7文字」だったと追記している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 酷い偏重記事なんだが (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2012年04月28日 17時59分 (#2144506)

    よく叩かれてるマスコミのイメージ操作をもっと幼稚に露骨に行ったようなタレコミなんだが、いったい何を意図して取り上げたの?

    • メールアカウントとSNSを連携させることの,
      危険性について注意喚起しているんじゃないかな?

      GmailとHotmailを比較する意味はそれほどないと思うけど,
      (というよりどちらも改善のペースが早いからどの時点で比較したのか,が争点になりそう)
      いろいろなサービスとの連携を推進しているHotmailの姿勢は,
      ユーザーにとって警戒しなきゃいけないのかな,と.

      実験を開始したときにGmailの連絡先をインポートし、Facebook、LinkedInの連絡先とも連動させていたことから被害が大きくなったそうだ。

      とも書いてあるしね.

      親コメント
    • by Anonymous Coward

      ①「Hotmailは駄目だ!」という捏造に近い偏向記事を掲載する
      ②この記事が他の大手ニュースサイト等に転載される
      ③ニュースサイトでこの記事を見た多くの素人に「あーやっぱりHotmailよりG-mailがいいんだ」と思わせる

      • by Anonymous Coward

        タイミング的にちょっと怪しいよね。
        ま、提灯記事という言葉があるぐらいだから、ライターがステマ要員の可能性はちょっとぐらい考慮に入れるべきだな。

        • by Anonymous Coward

          スラドに偏向記事はつきものでしょ
          特にAppleやGoogleに対する提灯記事はとても多い

    • by Anonymous Coward

      「おもしろおかしい」を貰いたかったのかも。

    • by Anonymous Coward

      とコメントまで準備することで、「実際にあったHotmailへの移行失敗」という「事実」を、「酷い偏重記事」であることに先にしてしまおうという意図なんですね。
      あたしゃ英語読む気もないし、リンク先も見てないけど、ここで「意図」を論ずる事が、「何とかしてこの記事をなかったコトにしたい」という意図が透けて見えますね。

      って、これくらいひねくれておけばおけ?

  • by Anonymous Coward on 2012年04月28日 17時13分 (#2144493)
    Hotmailへの移行を断念じゃなくて、PC誌の編集者が7ケタのパスワードを破られてHotmailに見当違いな八つ当たりをしてるだけでは?

    そもそも取り上げる必要あるの?
    • たしかに Hotmail は歴史的経緯からスバマーの攻撃対象として狙われやすいという事はあるので、安易なパスワードは危険でしょうね。
      じゃ厳格に安全なパスワード以外は弾くようにすればいいかというと、既存のユーザーへの対応を考えると難しいのかも。1日の送信量規制などはちゃんとしているので、大量発信型のスバマーには対処できてるんでしょうが、この手の標的型のスバマーへの対応は難しいですね。
      親コメント
  • by fl (43569) on 2012年04月28日 17時00分 (#2144486) 日記

    一般名詞と略語を組み合わせた英小文字 7 ケタのパスワードか。
    それなら辞書攻撃で現実的に破られるラインだ。
    かわいそうだが、安易なパスワードがどんな被害をもたらすかの悪い見本になってもらおう。

    Hotmail が未だにそんな脆弱なパスワードを許しているのが意外だ。

    • by nmaeda (5111) on 2012年04月28日 17時11分 (#2144491)

      日本語のサイトで確認すると、制限は6文字以上くらいしかないようだけど、ちゃんと

      安全性の高いパスワードとは、7 ~ 16 文字で、一般的な名前や言葉を含まず、大文字、小文字、数字、および記号を組み合わせたものです。

      などと注意書きがあるね。それに専門誌の編集者でもあるんだから、予備知識もあるわけだし、パスワードについては非難されても致し方ない。

      パスワードがクラックされたか否かは判らないけど。

      親コメント
    • 訂正: ×一般名詞 ○固有名詞

      親コメント
    • by Anonymous Coward on 2012年04月28日 17時19分 (#2144494)

      固有名詞とかどこに書いてある?

      それと、同じパスワードがGmailで破られずにHotmailで破られるんだったら、Hotmailは容易に辞書攻撃ができるってことになるね。

      スラドのアカウントですらそんなに簡単にはハックされてない気がするんだけど、Hotmailってそんなに危険なの?

      親コメント
    • by Anonymous Coward on 2012年04月28日 18時03分 (#2144507)

      てゆうかさ、Hotmailってクラッカーからの総当たり攻撃を許すシステムなの?

      連続して正しい認証が出来なかった時に、次のログイン要求までタイムラグを設けるとか、アカウントをロックするとかもしないで、無防備に何万回もの攻撃を受け付けるのか。

      それじゃあ危険だなあ。

      ちなみに、

      >それなら辞書攻撃で現実的に破られるラインだ。

      この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?

      参考に聞きたいんだけど、Hotmailって、一日あたり何回ぐらいの攻撃を受け付けるの?
      それによってどのくらいの強度のパスワードが必要か分かるので、できれば教えて。

      親コメント
      • by fl (43569) on 2012年04月28日 20時08分 (#2144552) 日記

        Hotmail のシステムを推定して、ぎりぎりの安全ラインを割り出すことに意味があるとは思えないが。
        攻撃者は仕様の穴を突いてくる。

        パスワードによる機密性は解析時間で担保されており、十分な時間があれば突破できる。
        十分な時間をかけさせないために、試行回数に制限がかけることでより安全性を高めている。
        試行回数が限られているからパスワードは弱くていいとするのは、本末転倒だろう。
        制限に抜け穴があれば容易に突破されるということを意味するからだ。

        そして完全なシステムは存在しない。

        その昔、原始的な Web システムは無制限にログインの試行を許していた。
        そのうち総当たりでアカウントを奪取しようとする攻撃者が現れた。

        対策として試行回数の累積でアカウントのロックアップを行うようになり、
        今度はサービス拒否攻撃が発見された。

        接続先を識別することで試行を繰り返す攻撃者だけを排斥しようとしたが
        botnet の存在がそれを覆した。

        それでも強固なパスワードがアカウント奪取を防ぐ効果は変わっていない。
        回避策がみつかるたびに心配を増やすくらいなら、最初から本質的な対策をとればいい。

        親コメント
        • Re: (スコア:0, すばらしい洞察)

          by Anonymous Coward

          なんだかまたMS信者がだんだんオカルトにハマって行くなあ。セキュリティに関してMSは悪くない、と言い張るために話をそらしたり、ユーザーに謂れの無いケチばかりつけたり、大変だね。

          要するに、今回の話はHotmailのシステムには(パスワードの強弱とは関係無い)脆弱製が存在する、というだけの話だと思うんだけど。
          いくらパスワードが強固でも、今回の問題とは全然関係ないと思うよ。

          ところで、あなたが考える「本質的な対策」ってのも興味があるので教えて。
          メールサーバへのパスワードが(今現在のネットワーク環境で)十分に強固、ってのがどれくらいなのか。
          サーバの応答速度、試行回数、主要なサービスの(普通は当然対策が取られていると思われる)辞書攻撃に対して無防備なサービスの割合(そしてHotmailは本当に完全無防備なのか)、実際にクラックされた事例なども考慮した「事実に基づく」意見をお願いしますね。

          • by fl (43569) on 2012年04月29日 13時07分 (#2144709) 日記

            自覚がないようだから、よく読んでほしい。

            セキュリティに関しては「これがあるから大丈夫」ではなくて
            「これが破られたらどんな影響が出るか」という考え方をするべきだ。

            Hotmail にパスワードにまつわる脆弱性があると仮定しよう。
            だからといって弱いパスワードを使ってかまわない理由にはならない。

            その未知の脆弱性は強制的にパスワードをリセットするものかもしれない。
            試行回数制限を回避するものかもしれない。
            前者についてはエンドユーザにできることは何もないが、後者は強いパスワードを
            使うことで防止できる。

            同様に、パスワードの安全性に関しても
            現在の Hotmail にフォーカスして見積もろうとするのが間違いだ。
            Hotmail のサービス担当者がやることであって、エンドユーザが見様見真似で行なっても益がない。

            本質的な対策の一つは、良いパスワードを使うこと。
            良いパスワードの作り方はいくつか言われている。

            JPCERT/CC [jpcert.or.jp]

            • 電話番号や誕生日など、個人情報を基にした文字列は使用しない。
            • 日本語、英語に限らず、辞書に載っている単語を使用しない。
            • ユーザアカウントと同じ文字列を含めない。
            • アルファベットの大文字、小文字、数字、特殊記号を混ぜる。
            • なるべく長いパスワードを設定する。
            • 同じパスワードを使い回さない。

            US-CERT [us-cert.gov]

            • Don't use passwords that are based on personal information that can be easily accessed or guessed.
            • Don't use words that can be found in any dictionary of any language.
            • Develop a mnemonic for remembering complex passwords.
            • Use both lowercase and capital letters.
            • Use a combination of letters, numbers, and special characters.
            • Use passphrases when you can.
            • Use different passwords on different systems.

            マイクロソフト [microsoft.com]

            長さ:
            可能な限り 8 文字以上で設定してください。
            複雑さ:
            文字、句読点、記号および数字を含めてください。キーボードで最もよく使用するまたはよく見かける文字キーや記号キーだけでなく、キーボード全体を使用してください。使用する文字の種類が多いほどパスワードの安全性は高くなります。 ただし、パスワード ハッキング ソフトウェアは、「and」から「&」または「to」から「2」など、一般的な文字から記号への変更を自動的にチェックします。
            変更:
            強力なパスワードの効果を保つために、頻繁に変更してください。 自動通知機能を設定し、3 か月ごとにメール、銀行、クレジッド カードの Web サイトのパスワードを変更してください。
            多様性:
            すべてのアカウントで同じパスワードを使用しないでください。 サイバー犯罪者は非常にセキュリティの弱い Web サイトでパスワードを盗み、同じパスワードとユーザー名を、セキュリティが厳しい環境 (銀行の Web サイトなど) で使用しようとします。

            パスワードには、以下の単語を使用しないでください。

            • いずれの言語でも、辞典に載っている単語。
            • 逆スペリングの単語、よくあるミススペル、省略語。
            • 連続した文字または繰り返した文字。 例: 12345678、222222、abcdefg、キーボード上隣にある文字 (qwerty)。
            • 個人情報。 自分の名前、誕生日、運転免許証番号、パスポート番号、またはそれに類似した情報。
            親コメント
      • by Anonymous Coward

        >この文章からすると、flさんはHotmailのログイン認証に対する対応速度を知っているようだけど、あなたは実際にHotmailを攻撃したことがあるという理解でいいかな?

        fl さんの文面からどうすればそう解釈できるのか疑問。

    • by Anonymous Coward

      >なお、Collins氏は元のHotmailパスワードが「小文字7文字」だったと追記している。

      Hotmailが今日してるのも確かにアレだけど、こんな編集者のPC雑誌、大丈夫なのか?

      • by Anonymous Coward on 2012年04月28日 18時40分 (#2144519)

        パスワードが"collins"の七文字だった、に一票。

        親コメント
        • by Anonymous Coward on 2012年04月28日 20時25分 (#2144557)

          略語+固有名詞の小文字七文字なので、元blogでは"pcbarry"が有力視されています。ネタ的に。

          # この人は、Barry Coliinsさん

          親コメント
      • by Anonymous Coward on 2012年04月28日 17時21分 (#2144497)

        本誌記者もたまらず昇天!?っていうヤツじゃないっすかね。

        PC誌の編集者のパスワードはもっと響子にしろとか、そのあたりのことを自分の体で確かめたとかそういうノリで。

        親コメント
        • by Anonymous Coward

          響子さんすきじゃーーーーーーーーーーーーー!!!!

        • by Anonymous Coward

          響子を体で確かめたとか、一体何の話・・・

        • by Anonymous Coward

          つまり、朱美だったのね。

    • by Anonymous Coward

      そもそもパスワードって認証として弱いだろう。
      パスワードが強度なんて幻想だよ。

    • by Anonymous Coward

      パスつきZIPのクラックでもするんか

      Hotmailは一定回数失敗するとアカウントがロックされるので総当たり攻撃で破るのはムリゲー

      • by Anonymous Coward

        > Hotmailは一定回数失敗するとアカウントがロックされる

        アカウントを知っててパスワードを知らない場合、意図的にアカウントをロックさせるという嫌がらせが行えるのでしょうか?

        銀行ATMでキャッシュカードが必要とかならわかるんだけど。

        • by masahikoi (1183) on 2012年04月28日 19時53分 (#2144546)

          アカウント自体が凍結されるわけではなく、サインイン時にCAPCHA認証を求められるようになります。
          ですから正しいパスワードを知っている人ならばサインインできます。
          (まあCAPCHAの入力を求められるの自体がいやがらせではありますが)
          また、Webページからのサインインがそうなっていても、Live MailやLive Messengerなどのクライアントアプリケーションには影響は有りません。

          親コメント
          • by Anonymous Coward

            それじゃ、効果が疑問視されているCAPCHAの強度が、総当り攻撃を防ぐ防衛線になってるのか?

            CAPCHAなんて、おまじない程度に考えておいた方が良いだろうに・・・数学的に強度を証明できるような物では無いので、何かのはずみで無意味と化す可能性がある。

            • by Anonymous Coward

              CAPHCHA20回失敗とかでとりあえずドアを閉めれば、何かのはずみってのは回避できるのでは?

              (最近、普通にCAPCHAが読めないのが苦痛。)

          • by Anonymous Coward

            >Live MailやLive Messengerなどのクライアントアプリケーションには影響は有りません。

            それだと、Live Messengerの互換クライアントからだと総当たりし放題ってことにならないだろうか。
            オープンソースな実装も1つ2つじゃあるまいに。

            #実際のところは知らないから補足plz

  • 7文字は弱い? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2012年04月28日 18時45分 (#2144520)

    パスワードに小文字7しか使わなかったのが悪い、と当たり前のように決めつけてる人が多いんだけど、ネットワーク越しのサーバへのパスワードで小文字7文字ってそんなに弱いですかね?

    元記事では辞書に使われている文字とは書いていないので、総当たりで認証する必要があるとすると、組み合わせは80億を超える。
    Hotmailのサーバが大バカで総当たり攻撃に対して何の対策も講じていないとして、仮に一秒あたり10回の認証を受け付けたとしても、全部の組み合わせを試すには9300日かかる。

    誰だか知らない一人のユーザーのIDをクラックするのに25年もかけるクラッカーもいないと思うんだけど、どうでしょうね。

    • by ddc (14170) on 2012年04月28日 19時18分 (#2144531) 日記

      私も同じ事思いました。
      破られた原因は7文字という文字数じゃなくて、推測されやすい文字列だったんじゃないんですかね。
      Hotmailのシステムがクラックされていないという前提ですが。

      親コメント
      • by saitoh (10803) on 2012年04月28日 19時27分 (#2144533)
        次のストーリー [srad.jp]で取り上げられていますが、Hotmailのバグでクラック可能な状態だった、ってのが結論のようですね・
        親コメント
        • by Anonymous Coward on 2012年04月28日 19時54分 (#2144547)

          いいえ、記事やリンク先をよく読みましょう。

          本家の下記コメントやそれへのコメントが、わかりやすいと思います。
          http://it.slashdot.org/comments.pl?sid=2815459&cid=39821609 [slashdot.org]

          親コメント
          • by Anonymous Coward

            >いいえ、記事やリンク先をよく読みましょう。
            >本家の下記コメントやそれへのコメントが、わかりやすいと思います。

            何がいいえで、何がわかりやすいのかさっぱりわからないんだけど。

            リンク先の文章は完全な憶測で、クラッカーがHotmailの脆弱性を利用してパスワードを変更した後にたまたま古いパスワードが書かれたメールを見つけて、それに戻したんじゃないかと言ってるだけ。

            • by Anonymous Coward

              #2144547のMS信者がミスリードに誘いたい様ですね。

            • by Anonymous Coward

              何がいいえなのかは一目瞭然だと思うんだけど
              親コメントの結論否定以外の何に見えるんだ?

              • by Anonymous Coward

                >親コメントの結論否定以外の何に見えるんだ?

                ちょっとは英文を読んでから話に参加しような。

                親コメントの結論否定以外の何に見えるかと言うと、親コメントの結論肯定に見えるんだよ。
                リンク先のコメントは、Hotmailのバグを利用してクラックした、と言ってるんだから。
                ただし、その場合クラックした後のパスワードが元のパスワードから変わるはずで、このトピックの元ネタの編集者はそれに触れていないことから、クラッカーがどうやって元のパスワードに戻したのか、偶然か、それとも何かの処置を施したのか...って話をしてるんだよ。

  • hotmail だったのでは、ないだろうか?
  • by Anonymous Coward on 2012年04月28日 17時05分 (#2144487)

    困っていないときは、環境を弄らない事かな。

    とはいえ、先駆者がいない限り改善もないわけで。

    googleが抜かれた時は、世界中で阿鼻叫喚なんだろうな。

    • by Anonymous Coward

      Gmailの自分のアカウント、クラックされましたよ。自分のアカウントから、数通スパムを送信されました。
      その時は自分のだけだったから、パスワードを破られたんだろうけど(実はサボって弱いパスワードを使っていた)。

      その後、20桁、記号含みの複雑化、二段階認証を導入してます。

      まあ、同じ事は、FacebookやTwitterみたいな、メッセージ送信システムがあれば、いつか起きるんでしょう。

    • by Anonymous Coward

      Gmailも何度もやられたってニュースは過去に何度もあったけど
      特に有名人のアカウントが盗まれる事件は多いよね.

      まぁ弱いパスワードを使っていれば、どのシステムでも一緒でしょ
      ただAndroidも使っていれば、さらに酷いことになる可能性も高いけど。

  • by Anonymous Coward on 2012年04月29日 1時17分 (#2144632)

    それがきっかけで攻撃されるようになったんでしょ

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...