クラブニンテンドーで他社サービスのパスワードを使用したとみられる不正ログイン23,926件 44
ストーリー by headless
流用 部門より
流用 部門より
任天堂は5日、同社の運営する会員サイト「クラブニンテンドー」で、他社のサービスから流出したとみられるID・パスワードを使用した不正ログインが行われたことを発表した(お客様へのお知らせ)。
発表によると7月2日に大量のアクセスエラーが発生していることが確認されたという。調査の結果、6月9日から7月4日までの間に15,457,485回の不正ログインが試行され、うち23,926件がログインに成功していたとのこと。不正ログインにより参照された可能性があるユーザー情報は、氏名、住所、電話番号、メールアドレスで、個人情報の改ざんやクラブニンテンドーポイントの不正使用は確認されていないとしている。任天堂では不正ログインが行われたID・パスワードでログインできないようにし、該当者に電子メールで通知した。また、他社サービスと同一のパスワードを使用している会員に対し、別のパスワードを設定するように求めている。
発表によると7月2日に大量のアクセスエラーが発生していることが確認されたという。調査の結果、6月9日から7月4日までの間に15,457,485回の不正ログインが試行され、うち23,926件がログインに成功していたとのこと。不正ログインにより参照された可能性があるユーザー情報は、氏名、住所、電話番号、メールアドレスで、個人情報の改ざんやクラブニンテンドーポイントの不正使用は確認されていないとしている。任天堂では不正ログインが行われたID・パスワードでログインできないようにし、該当者に電子メールで通知した。また、他社サービスと同一のパスワードを使用している会員に対し、別のパスワードを設定するように求めている。
この件のお知らせメールのヘッダを見たら (スコア:2)
この期に乗じて、偽の「変更しました!」を送りつけられる便乗も気になったので
メールのヘッダをみたら、見知らぬところから送られているのを確認。
送り元を確認してみたところ tricorn.net という配信業者経由の様子。
過去の"ニンテンドーマガジン"等と同じであることを確認。
HTMLメールではなく、ベタのテキストメールなので、
案内誘導先のURLもそのままであることを確認して、
これが本物であろうと判断しました。
踏まれたか…。
#さっさと仮パスから変更しておいたほうがいいだろうな…
ヤフージャパンの漏えいを思い出した (スコア:0)
当社サーバーへの不正なアクセスについて
http://pr.yahoo.co.jp/release/2013/0404a.html [yahoo.co.jp]
「当社サーバへの不正なアクセスについて」(5/17発表)の追加発表
http://pr.yahoo.co.jp/release/2013/0523a.html [yahoo.co.jp]
1500万回トライしているし、任天堂が言うようにどこかで取得した情報を元にやっている可能性が高いですね
あと同一のID、パスワード、メールアドレスで複数のサービスを利用している人はとても多いので、芋づる式にこういった不正ログインが多発しないよう利用者の意識を完全しないといけないですね
Re:ヤフージャパンの漏えいを思い出した (スコア:3)
利用者もそうですけど、漏洩元システムにも非があると思います。
漏洩元システムが判明したら、任天堂法務部には、
今回対応費用を請求してほしいところ。
パスワードの平文保存を要求してくる客の説得材料にしたいという個人的理由で。
Re:ヤフージャパンの漏えいを思い出した (スコア:1)
同じパスワードにしたお客様が悪いとも言える。
パスワードは完全にお客様の管理下にあり、
任天堂は仮パスワード発行などの対応を行う義理はありません。
つまり、お客様の尻ぬぐい代行を任天堂が行ったので、
お客様は、今回の対応費用を任天堂から請求されてもおかしくはないと思います。
そして、お客様は漏洩元に対応費用を請求することはできると思う。
Re:ヤフージャパンの漏えいを思い出した (スコア:1)
Re: (スコア:0)
本当に「漏えい」だと思ってるの?
むしろ、アカウントとパスワードを収集することを目的に立ち上げられたしょぼいサービスに釣られた可能性のほうが高いと思うけど。
Re: (スコア:0)
ユーザー本人が自覚無しに漏らしてる可能性は考えてみた方がいいかもなぁ。
どうでもいいサービスでも、身近で必須なサービスにも同じID/PASSを使っている人は結構居そうだ。
Re:ヤフージャパンの漏えいを思い出した (スコア:2)
その可能性も十分考慮すべきと思いますが、親コメが言うように試行回数と成功率から、
パスワードの使い回しの可能性のが高いと判断しました。
フィッシングをするなら最初から任天堂を標的にするわけで、もっと試行回数は低く、成功率高いかなと。
あくまで可能性の話ですが。
Re: (スコア:0)
たとえばLINEやFacebookをインストールしていて「メアドがどこからともなく流出している!!!1!!!」とか。
# でもこれ自分自身はともかくメアドを教えている他人にやられると防ぎようがないよなあ。
Re: (スコア:0)
Facebookの大規模漏洩後に
各所で大規模に不正侵入を試みてる話が続出してるから
ここ一連のやつの発端はFacebookのような気がする。
かくいう私も数種類のパスを使いまわしてたのでヤバイ状況に……
メールアドレスも複数使ってたので完全に組み合わせはそう多くは無かったけど。
Re: (スコア:0)
さすがにあのfacebookが生パスワードを保存してるとは思えないが?
今世界で一番情報セキュリティを注目・監視されてる会社だよ。
Re:ヤフージャパンの漏えいを思い出した (スコア:2)
むしろ生パスワードを持つのが最近の動向です。
ゼロ知識証明を使った認証プロトコル(CHAPとかダイジェスト認証とかね)の定義などをご覧になると分かりますが、 パスワード自体を転送しない認証方式は対向側に生パスワードを持っていないと実現できないのですよ。
Re:ヤフージャパンの漏えいを思い出した (スコア:1)
ダイジェスト認証については、サーバ側はユーザ名・レルム・パスワードを連結した文字列のハッシュ値を持てばよさそうです。以下、 RFC 2617 [ietf.org] より引用します。
Re: (スコア:0)
なんで都合のいいところしか引用しないの? そのすぐ後に「もしパスワードファイルが漏洩したら、即座にそのレルムへのアクセス権を得られちゃうよ」って書かれてるじゃん。生パスワードそのものは確かに漏洩しないかもしれないが、ほとんど同じこと。せいぜいパスワードを使いまわされているかもしれない他サイトに迷惑をかけない、くらいの意味しかない。
Re:ヤフージャパンの漏えいを思い出した (スコア:1)
「生パスワードを持つ」に脊髄反射して、直接関係ある所だけ読んだからです。確かに、ダイジェスト認証に使うのはユーザ名とダイジェスト値だけで、これをサーバとクライアントが共有しているので、バレたらそのサービスはおしまいですね。
RFC の方にも書かれていますが、ユーザ名、レルム、ダイジェスト値が既知となった時点で、オフラインでブルートフォースアタックが掛けられるので、結局パスワードが解析されて、他サイトにも迷惑を掛ける可能性が高いと思います。ハッシュ関数が MD5 よりもっと計算量が大きいものならマシだったんでしょうが。
結論、パスワードをハッシュ化して保存していたとしても、ハッシュ化された値が流出した時点で、
ってことで、大して事態は良くなりませんね。
Re: (スコア:0)
パスワード自体もオフライン攻撃で破られる可能性が高い(特にハッシュ関数の計算量が小さい場合)
でも、オフラインブルートフォースで破られるまでの時間は、ユーザ側としては大きいですよ。
もし、本当に平文のまま流出した場合、流出の事実が分かったころには、既にそのアカウント情報で他のサービスに対してログイン試行が行われ、もし、パスワードの使い回しをしていたら、気がついた時にはあちこちで自分のアカウントが不正に使われている、という事態が考えられます。
しかし、オフライン・ブルートフォースでが必要で、生のパスワードが分かるまでの時間が稼げれば、その間にパスワードを変更することで、他サービスへの被害を回避できることになります。
自分が知っ
Re: (スコア:0)
むしろ生パスワードを持つのが最近の動向です。
えっ、そうなの? SSL/TLS 化したトンネルの中に、平文のパスワード、サーバ側はソルト付けた上でストレッチング、ではなくて。
まぁ、SSL/TLS 化できない場合に、盗聴とサーバからの漏洩のリスクを天秤にかけて、とか、SSL/TLS 化によるコスト増(証明書の金額だけじゃなくて、期限切れしないようにするための間接的なコストや、サーバサイドでの暗号化処理に伴うコストとか)との兼ね合い、という事はあると思うけど。
Re: (スコア:0)
PlayStation Network個人情報流出事件を思い出した。
同じゲームユーザーだし、かぶっている人も多いかも?
Re: (スコア:0)
事件の時期的にその可能性は薄いでしょう
Re: (スコア:0)
リトライ回数が他社サービスから漏れた根據なんですか?
正直、他人に責任をなすりつけているようにしか見えないんですが
そういう論調が全くないのがいやはや
Re: (スコア:0)
>正直、他人に責任をなすりつけているようにしか見えないんですが
>そういう論調が全くないのがいやはや
仮にそうだとしても、証拠が何もないのにそんな論調でまともな議論になるとは思えませんが…
そんな性格では人生損しますよ。
Re:ヤフージャパンの漏えいを思い出した (スコア:1)
>なんの根拠もしめさず「他社の…」と主張していることを鵜呑みにするのがまともな議論とも思えませんね
そういう議論をやったことはありますが、建設的な議論になった記憶がありません。
論拠がないので妄想で語るだけになってしまいます。
結論が出ないか、喧嘩になって終わりです。
納得できないなら、自分で話題を振ってみてはいかがでしょうか?
ワンタイムパスでFA? (スコア:0)
判り易いパスを使うのはおこさまが使う以上どうにもならんし対策しても意味を理解して使うかどうか・・・
もういっそセキュリティトークンでも配布するしか極限まで不正ログインを減らす方法が無いのではないかと思うわけですわ
#リスクを説明すると何故呪文を唱えてるとなってしまうのだろうか、教えてエロイ人
ゲーム感覚 (スコア:1)
パスワードの複雑さに応じてポイントでもくれてやればいいんじゃね。
パスワードを(合理的にあまりにも高すぎない頻度で)変更するたびにポイントが入るようにすればパスワードの定期的変更の呪文を唱える必要もなくなる。
ワンタイムトークンというハードウェアを配るよりは安上がりだと思うし。
Re:ゲーム感覚 (スコア:2)
複雑なパスワードを頻繁に変えさせると「パスワード忘れ」が大発生することになるでしょう。
複雑なのはいいんですが、今時パスワードを定期的に変えるとはまさに「呪文」、意味のないおまじないでしょう。参考:パスワードの定期変更という“不自然なルール” [atmarkit.co.jp]
よそと共通にしているパスワードを狙われるのって、「リスト型攻撃」という名前まで付いているんですね。上記連載の第12回 [atmarkit.co.jp]で解説されています。
昔に受けた教育のまま頭が固まっている人は「パスワードは定期変更」「記録してはいけない」なんていうのを今でも「基本原則である」とか思い込んでたりしますが、今ではそれより「よそと共通にしない」「セキュアに保管」の方がよほど大事ですね。
現実的にはパスワードを設定させるときに「よそと共通のパスワードは使うな」というくらいですかね。
Jubilee
Re: (スコア:0)
復活の呪文を忘れるなら写メすればいいじゃないって孫が言ってた。
Re: (スコア:0)
写メはスマホ全盛期の現在、死語になったので、そのお孫さんはおそらく20代後半と推察されます。
お孫さんが20代後半なら、あなたは80歳くらいと推察されますが、いかがでしょうか?
Re: (スコア:0)
ゲームで得られるポイントとパスワード変更によるポイントはゲームで得られるポイント以上のメリットが無ければその優位性は薄い
ましてそれでゲームバランスが崩れることになると本末転倒だしパスワード変更のたびに覚えなおす記録しなおすストレスとゲームで得られる興奮と嗜好、元々楽をする者はどちらを選ぶか?
考えるまでも無く「まぁいっか」で終わる事は日を見るより明らか
パスワード変更毎のポイント加算と考えるよりゲーム内の特定の行為で得られるポイントの倍率が変更頻度により変動するシステムが変更を促す意味でもいいのかもしれない
Re: (スコア:0)
それを言ったらガチャで得られるカードの絵ってあんなにリアルマネー注ぎ込むだけの価値があるの?
Re: (スコア:0)
それとこれとは別の話
Re: (スコア:0)
冷静に考えて何の価値もないものにでも夢中にさせることができるからやり方次第だろ、という事例をあげたにすぎない。
# なんでこのレベルまで手取り足取り説明してやらなければならないほどのバカしかいないの
Re: (スコア:0)
事例?2点3点して?
Re: (スコア:0)
バカって言ったら自分がバカ、ってじっちゃんが言ってました。
Re: (スコア:0)
事例?2点3点して?
流石に酷すぎないか、この日本語。
バカ扱いされて文句言える筋合いじゃないよこれは。
#2416372も#2416455も内容が全く無い。こんなコメントやめろよ。悪いコメントの例として晒して欲しいぐらいだわ。
Re: (スコア:0)
そもそも不正ログインとは全く関係が無いのに内容なんて必要無いよ。
Re: (スコア:0)
今回の件をきっかけに、任天堂が格安でwiiU用指紋認証システムを販売したりしないかなあ、とか思います。
USBタイプならPC用で1万円代から2万円代が今の相場みたいですし、
ゲームソフトの半額くらいで出したりしたら、結構売れるんじゃないかな。
その結果、PC用も含めた指紋認証システム全体が値下がりしてくれると尚良し。
Re: (スコア:0)
パスワードは変更可能だけど、指紋が漏洩すると、一生ものだよ。将来、大人になったときに指紋認証前提で手軽なシステムが導入されたとき、子供時代の、しかもゲームが原因の漏洩がきっかけでサービス拒否されたりすると……
手指は10本 (スコア:1)
大丈夫。
手指は10本ある、通常。
Re: (スコア:0)
DSやWii、この際携帯やスマフォにでも、セキュリティトークンの代用をさせる事も可能な気がするけど、Webからログインするのに毎回トークン使うんじゃ面倒だな。
トークンを使ってログインしたらサーバから発行した鍵をブラウザに保存させたらと思ったが、共用PCで問題があるし。
トークンはトークンで、銀行ほどのものでないと管理が雑になりそうで、盗用や紛失の余計なリスクを生む可能性も。
とはいえ。
パスワードってのは人の記憶(等)に鍵の代用をさせるもんだと思うんだが、鍵のセットを記憶媒体に保存する規格を作って、
初回はメール認証、以降は鍵データの入ったUSBデバイスでログイン可能、なんて訳にはいかないのかね。
・・・鍵データとメーラー盗まれたら終わりそうだが、そこはこうなんかうまい具合にどうにか。
もうちょい情報が欲しいな (スコア:0)
>>15,457,485回の不正ログインが試行され、うち23,926件がログインに成功していたとのこと。
アクセスした総アカウント数も知りたいな。
成功率が高すぎるので他で書かれているような情報が漏れているかもね。
Re: (スコア:0)
1500万試行して2万って、成功率めちゃくちゃ低いんでけど…
情報漏れてたらこんな低い成功率なわけないでしょ
Re:もうちょい情報が欲しいな (スコア:1)
>情報漏れてたらこんな低い成功率なわけないでしょ
パスワードを使いまわしてる人のIDしか成功しないんなら、そんなもんじゃないでしょうか。
誰も書いてないんだけど (スコア:0)
そもそもクラブニンテンドーって
本人の本名とか住所とか必要なシステムなの?
任天堂のダウンロードコンテンツって、比較的高めのゲーム本体のダウンロードも含めて
本体認証になってるから、本体壊れたら終わりだし
クラブニンテンドーで認証してるわけでもない。
あと知ってるのは変なポイントくらい。ゲーム買うとポイントついてて
溜まるとクラブニンテンドーで何かもらえる。
(溜まるほど任天堂のゲームもハードも買わないから友人に上げちゃってて詳しくは知らん。)
こっちはリアルなブツなら送り先住所は欲しいけど、それも住所登録するまでじゃなくて、送るときに1回だけ書けばいいんじゃないかな・・・