パスワードを忘れた? アカウント作成
9364823 story
任天堂

クラブニンテンドーで他社サービスのパスワードを使用したとみられる不正ログイン23,926件 44

ストーリー by headless
流用 部門より
任天堂は5日、同社の運営する会員サイト「クラブニンテンドー」で、他社のサービスから流出したとみられるID・パスワードを使用した不正ログインが行われたことを発表した(お客様へのお知らせ)。

発表によると7月2日に大量のアクセスエラーが発生していることが確認されたという。調査の結果、6月9日から7月4日までの間に15,457,485回の不正ログインが試行され、うち23,926件がログインに成功していたとのこと。不正ログインにより参照された可能性があるユーザー情報は、氏名、住所、電話番号、メールアドレスで、個人情報の改ざんやクラブニンテンドーポイントの不正使用は確認されていないとしている。任天堂では不正ログインが行われたID・パスワードでログインできないようにし、該当者に電子メールで通知した。また、他社サービスと同一のパスワードを使用している会員に対し、別のパスワードを設定するように求めている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • この期に乗じて、偽の「変更しました!」を送りつけられる便乗も気になったので
    メールのヘッダをみたら、見知らぬところから送られているのを確認。

    送り元を確認してみたところ tricorn.net という配信業者経由の様子。

    過去の"ニンテンドーマガジン"等と同じであることを確認。

    HTMLメールではなく、ベタのテキストメールなので、
    案内誘導先のURLもそのままであることを確認して、
    これが本物であろうと判断しました。

    踏まれたか…。

    #さっさと仮パスから変更しておいたほうがいいだろうな…

  • by Anonymous Coward on 2013年07月06日 16時39分 (#2416114)

    当社サーバーへの不正なアクセスについて
    http://pr.yahoo.co.jp/release/2013/0404a.html [yahoo.co.jp]
    「当社サーバへの不正なアクセスについて」(5/17発表)の追加発表
    http://pr.yahoo.co.jp/release/2013/0523a.html [yahoo.co.jp]

    1500万回トライしているし、任天堂が言うようにどこかで取得した情報を元にやっている可能性が高いですね
    あと同一のID、パスワード、メールアドレスで複数のサービスを利用している人はとても多いので、芋づる式にこういった不正ログインが多発しないよう利用者の意識を完全しないといけないですね

    • 利用者もそうですけど、漏洩元システムにも非があると思います。
      漏洩元システムが判明したら、任天堂法務部には、
      今回対応費用を請求してほしいところ。

      パスワードの平文保存を要求してくる客の説得材料にしたいという個人的理由で。

      親コメント
      • 同じパスワードにしたお客様が悪いとも言える。
        パスワードは完全にお客様の管理下にあり、
        任天堂は仮パスワード発行などの対応を行う義理はありません。

        つまり、お客様の尻ぬぐい代行を任天堂が行ったので、
        お客様は、今回の対応費用を任天堂から請求されてもおかしくはないと思います。

        そして、お客様は漏洩元に対応費用を請求することはできると思う。

        親コメント
      • by Anonymous Coward

        本当に「漏えい」だと思ってるの?
        むしろ、アカウントとパスワードを収集することを目的に立ち上げられたしょぼいサービスに釣られた可能性のほうが高いと思うけど。

        • by Anonymous Coward

          ユーザー本人が自覚無しに漏らしてる可能性は考えてみた方がいいかもなぁ。
          どうでもいいサービスでも、身近で必須なサービスにも同じID/PASSを使っている人は結構居そうだ。

          • その可能性も十分考慮すべきと思いますが、親コメが言うように試行回数と成功率から、
            パスワードの使い回しの可能性のが高いと判断しました。
            フィッシングをするなら最初から任天堂を標的にするわけで、もっと試行回数は低く、成功率高いかなと。

            あくまで可能性の話ですが。

            親コメント
          • by Anonymous Coward

            たとえばLINEやFacebookをインストールしていて「メアドがどこからともなく流出している!!!1!!!」とか。
            # でもこれ自分自身はともかくメアドを教えている他人にやられると防ぎようがないよなあ。

      • by Anonymous Coward

        Facebookの大規模漏洩後に
        各所で大規模に不正侵入を試みてる話が続出してるから
        ここ一連のやつの発端はFacebookのような気がする。

        かくいう私も数種類のパスを使いまわしてたのでヤバイ状況に……
        メールアドレスも複数使ってたので完全に組み合わせはそう多くは無かったけど。

        • by Anonymous Coward

          さすがにあのfacebookが生パスワードを保存してるとは思えないが?
          今世界で一番情報セキュリティを注目・監視されてる会社だよ。

          • むしろ生パスワードを持つのが最近の動向です。

            ゼロ知識証明を使った認証プロトコル(CHAPとかダイジェスト認証とかね)の定義などをご覧になると分かりますが、 パスワード自体を転送しない認証方式は対向側に生パスワードを持っていないと実現できないのですよ。

            親コメント
            • ダイジェスト認証については、サーバ側はユーザ名・レルム・パスワードを連結した文字列のハッシュ値を持てばよさそうです。以下、 RFC 2617 [ietf.org] より引用します。

              ダイジェスト認証において認証エージェント(通常はサーバ)は、レルムごとにユーザ名とパスワードから生成したデータを「パスワードファイル」に格納する必要があります。通常、このデータはユーザ名と H(A1) のペアからなります。 H(A1) は上述したとおり、ユーザ名、レルム、パスワードから生成したダイジェスト値です。

              ※ 引用者註: H(A1) = MD5(ユーザ名 ":" レルム ":" パスワード)

              親コメント
              • by Anonymous Coward

                なんで都合のいいところしか引用しないの? そのすぐ後に「もしパスワードファイルが漏洩したら、即座にそのレルムへのアクセス権を得られちゃうよ」って書かれてるじゃん。生パスワードそのものは確かに漏洩しないかもしれないが、ほとんど同じこと。せいぜいパスワードを使いまわされているかもしれない他サイトに迷惑をかけない、くらいの意味しかない。

              • なんで都合のいいところしか引用しないの?

                「生パスワードを持つ」に脊髄反射して、直接関係ある所だけ読んだからです。確かに、ダイジェスト認証に使うのはユーザ名とダイジェスト値だけで、これをサーバとクライアントが共有しているので、バレたらそのサービスはおしまいですね。

                せいぜいパスワードを使いまわされているかもしれない他サイトに迷惑をかけない、くらいの意味しかない。

                RFC の方にも書かれていますが、ユーザ名、レルム、ダイジェスト値が既知となった時点で、オフラインでブルートフォースアタックが掛けられるので、結局パスワードが解析されて、他サイトにも迷惑を掛ける可能性が高いと思います。ハッシュ関数が MD5 よりもっと計算量が大きいものならマシだったんでしょうが。

                結論、パスワードをハッシュ化して保存していたとしても、ハッシュ化された値が流出した時点で、

                • そのサービスは破られる
                • パスワード自体もオフライン攻撃で破られる可能性が高い(特にハッシュ関数の計算量が小さい場合)

                ってことで、大して事態は良くなりませんね。

                親コメント
              • by Anonymous Coward

                パスワード自体もオフライン攻撃で破られる可能性が高い(特にハッシュ関数の計算量が小さい場合)

                でも、オフラインブルートフォースで破られるまでの時間は、ユーザ側としては大きいですよ。

                もし、本当に平文のまま流出した場合、流出の事実が分かったころには、既にそのアカウント情報で他のサービスに対してログイン試行が行われ、もし、パスワードの使い回しをしていたら、気がついた時にはあちこちで自分のアカウントが不正に使われている、という事態が考えられます。

                しかし、オフライン・ブルートフォースでが必要で、生のパスワードが分かるまでの時間が稼げれば、その間にパスワードを変更することで、他サービスへの被害を回避できることになります。

                自分が知っ

            • by Anonymous Coward

              むしろ生パスワードを持つのが最近の動向です。

              えっ、そうなの? SSL/TLS 化したトンネルの中に、平文のパスワード、サーバ側はソルト付けた上でストレッチング、ではなくて。

              まぁ、SSL/TLS 化できない場合に、盗聴とサーバからの漏洩のリスクを天秤にかけて、とか、SSL/TLS 化によるコスト増(証明書の金額だけじゃなくて、期限切れしないようにするための間接的なコストや、サーバサイドでの暗号化処理に伴うコストとか)との兼ね合い、という事はあると思うけど。

    • by Anonymous Coward

      PlayStation Network個人情報流出事件を思い出した。

      同じゲームユーザーだし、かぶっている人も多いかも?

      • by Anonymous Coward

        事件の時期的にその可能性は薄いでしょう

    • by Anonymous Coward

      リトライ回数が他社サービスから漏れた根據なんですか?
      正直、他人に責任をなすりつけているようにしか見えないんですが
      そういう論調が全くないのがいやはや

      • >正直、他人に責任をなすりつけているようにしか見えないんですが
        >そういう論調が全くないのがいやはや

        仮にそうだとしても、証拠が何もないのにそんな論調でまともな議論になるとは思えませんが…

        そんな性格では人生損しますよ。

  • by Anonymous Coward on 2013年07月06日 19時00分 (#2416184)

    判り易いパスを使うのはおこさまが使う以上どうにもならんし対策しても意味を理解して使うかどうか・・・
    もういっそセキュリティトークンでも配布するしか極限まで不正ログインを減らす方法が無いのではないかと思うわけですわ

    #リスクを説明すると何故呪文を唱えてるとなってしまうのだろうか、教えてエロイ人

    • by Anonymous Coward on 2013年07月06日 20時22分 (#2416246)

      パスワードの複雑さに応じてポイントでもくれてやればいいんじゃね。
      パスワードを(合理的にあまりにも高すぎない頻度で)変更するたびにポイントが入るようにすればパスワードの定期的変更の呪文を唱える必要もなくなる。
      ワンタイムトークンというハードウェアを配るよりは安上がりだと思うし。

      親コメント
      • by Jubilee (20038) on 2013年07月06日 21時17分 (#2416298)

        複雑なパスワードを頻繁に変えさせると「パスワード忘れ」が大発生することになるでしょう。

        複雑なのはいいんですが、今時パスワードを定期的に変えるとはまさに「呪文」、意味のないおまじないでしょう。参考:パスワードの定期変更という“不自然なルール” [atmarkit.co.jp]

        よそと共通にしているパスワードを狙われるのって、「リスト型攻撃」という名前まで付いているんですね。上記連載の第12回 [atmarkit.co.jp]で解説されています。

        昔に受けた教育のまま頭が固まっている人は「パスワードは定期変更」「記録してはいけない」なんていうのを今でも「基本原則である」とか思い込んでたりしますが、今ではそれより「よそと共通にしない」「セキュアに保管」の方がよほど大事ですね。

        現実的にはパスワードを設定させるときに「よそと共通のパスワードは使うな」というくらいですかね。

        --
        Jubilee
        親コメント
        • by Anonymous Coward

          復活の呪文を忘れるなら写メすればいいじゃないって孫が言ってた。

          • by Anonymous Coward

            写メはスマホ全盛期の現在、死語になったので、そのお孫さんはおそらく20代後半と推察されます。
            お孫さんが20代後半なら、あなたは80歳くらいと推察されますが、いかがでしょうか?

      • by Anonymous Coward

        ゲームで得られるポイントとパスワード変更によるポイントはゲームで得られるポイント以上のメリットが無ければその優位性は薄い
        ましてそれでゲームバランスが崩れることになると本末転倒だしパスワード変更のたびに覚えなおす記録しなおすストレスとゲームで得られる興奮と嗜好、元々楽をする者はどちらを選ぶか?
        考えるまでも無く「まぁいっか」で終わる事は日を見るより明らか

        パスワード変更毎のポイント加算と考えるよりゲーム内の特定の行為で得られるポイントの倍率が変更頻度により変動するシステムが変更を促す意味でもいいのかもしれない

        • by Anonymous Coward

          それを言ったらガチャで得られるカードの絵ってあんなにリアルマネー注ぎ込むだけの価値があるの?

          • by Anonymous Coward

            それとこれとは別の話

            • by Anonymous Coward

              冷静に考えて何の価値もないものにでも夢中にさせることができるからやり方次第だろ、という事例をあげたにすぎない。
              # なんでこのレベルまで手取り足取り説明してやらなければならないほどのバカしかいないの

              • by Anonymous Coward

                事例?2点3点して?

              • by Anonymous Coward

                バカって言ったら自分がバカ、ってじっちゃんが言ってました。

              • by Anonymous Coward

                事例?2点3点して?

                流石に酷すぎないか、この日本語。
                バカ扱いされて文句言える筋合いじゃないよこれは。

                #2416372も#2416455も内容が全く無い。こんなコメントやめろよ。悪いコメントの例として晒して欲しいぐらいだわ。

              • by Anonymous Coward

                そもそも不正ログインとは全く関係が無いのに内容なんて必要無いよ。

    • by Anonymous Coward

      今回の件をきっかけに、任天堂が格安でwiiU用指紋認証システムを販売したりしないかなあ、とか思います。
      USBタイプならPC用で1万円代から2万円代が今の相場みたいですし、
      ゲームソフトの半額くらいで出したりしたら、結構売れるんじゃないかな。
      その結果、PC用も含めた指紋認証システム全体が値下がりしてくれると尚良し。

      • by Anonymous Coward

        パスワードは変更可能だけど、指紋が漏洩すると、一生ものだよ。将来、大人になったときに指紋認証前提で手軽なシステムが導入されたとき、子供時代の、しかもゲームが原因の漏洩がきっかけでサービス拒否されたりすると……

    • by Anonymous Coward

      DSやWii、この際携帯やスマフォにでも、セキュリティトークンの代用をさせる事も可能な気がするけど、Webからログインするのに毎回トークン使うんじゃ面倒だな。
      トークンを使ってログインしたらサーバから発行した鍵をブラウザに保存させたらと思ったが、共用PCで問題があるし。
      トークンはトークンで、銀行ほどのものでないと管理が雑になりそうで、盗用や紛失の余計なリスクを生む可能性も。

      とはいえ。
      パスワードってのは人の記憶(等)に鍵の代用をさせるもんだと思うんだが、鍵のセットを記憶媒体に保存する規格を作って、
      初回はメール認証、以降は鍵データの入ったUSBデバイスでログイン可能、なんて訳にはいかないのかね。
      ・・・鍵データとメーラー盗まれたら終わりそうだが、そこはこうなんかうまい具合にどうにか。

  • by Anonymous Coward on 2013年07月06日 19時12分 (#2416189)

    >>15,457,485回の不正ログインが試行され、うち23,926件がログインに成功していたとのこと。

    アクセスした総アカウント数も知りたいな。
    成功率が高すぎるので他で書かれているような情報が漏れているかもね。

    • by Anonymous Coward

      1500万試行して2万って、成功率めちゃくちゃ低いんでけど…
      情報漏れてたらこんな低い成功率なわけないでしょ

  • by Anonymous Coward on 2013年07月08日 11時04分 (#2417153)

    そもそもクラブニンテンドーって
    本人の本名とか住所とか必要なシステムなの?

    任天堂のダウンロードコンテンツって、比較的高めのゲーム本体のダウンロードも含めて
    本体認証になってるから、本体壊れたら終わりだし
    クラブニンテンドーで認証してるわけでもない。

    あと知ってるのは変なポイントくらい。ゲーム買うとポイントついてて
    溜まるとクラブニンテンドーで何かもらえる。
    (溜まるほど任天堂のゲームもハードも買わないから友人に上げちゃってて詳しくは知らん。)
    こっちはリアルなブツなら送り先住所は欲しいけど、それも住所登録するまでじゃなくて、送るときに1回だけ書けばいいんじゃないかな・・・

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...