パスワードを忘れた? アカウント作成
9536232 story
インターネット

ニフティに不正ログイン、会員情報閲覧の可能性 27

ストーリー by headless
閲覧 部門より
あるAnonymous Coward のタレこみによれば、@nitfyの会員向け「お客様情報一覧」ページへの不正ログインが発生し、少なくとも21,184IDの会員情報が閲覧された可能性があるとのこと(ニュースリリースお客様情報一覧の不正なログインの発生について)。

不正ログインは特定のIPアドレスから7月14日~16日にかけて発生。何らかの手段で入手されたIDとパスワードを用いて行われたと考えられ、ウイルスやフィッシング、特定アプリの脆弱性などが原因となった可能性もあるとのこと。ニフティでは該当IPアドレスからのアクセスを遮断し、不正ログインをされた可能性のあるユーザーにメールで連絡したほか、対象IDの確認ツールを公開している。

閲覧された可能性のある会員情報は「氏名」「住所」「電話番号」「生年月日」「性別」「秘密の質問と回答」「ご契約状況」「ご利用料金」「メールアドレス」など。クレジットカード情報は一部がマスキングされているため、決済には利用できないという。また、現時点では会員情報の改ざんや有料サービスの不正利用などは確認されていないが、引き続き調査を行うとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Hamo73 (35938) on 2013年07月21日 1時26分 (#2425101)

    何個くらいのIPアドレスを使っているんでしょうね。
    さすがに全ID別のIPアドレスを使っているとは思えないのですが、短期間にいくつものIDにログインを試みるIPアドレスはアクセス拒否にできないものでしょうか。

    • by Anonymous Coward

      カジュアルな感じで試す輩には、ある程度効果はあるとは思います。

      ただ、ビジネスでやっているような連中は匿名プロキシを通したり、時間を空けてアクセスしたりとかやっているはず。

      結局いたちごっこになるかもしれません。

    • by Anonymous Coward

      例えば、余りよく知らない一般プロバイダからのアクセスの場合、
      その下にぶら下がってるユーザ数がわからなかったりしますよね?
      その場合に
      ・そのIPを遮断した場合に他のユーザにどのくらい影響が出るのか?
      ・そのIPを遮断した場合に、該当ユーザが回線再接続することで、他のIPに変わってしまわないだろうか?
      ということを考えると、一般的にはやりにくいです。

      2chぐらいにプロバイダごと遮断とかできるならいいですけど。

  • by Anonymous Coward on 2013年07月20日 15時34分 (#2424904)

    >」「秘密の質問と回答」

  • by Anonymous Coward on 2013年07月20日 16時00分 (#2424918)

    ここ数年でクラウド型のアプリケーションが増えてきたせいもあって、ネットワーク上で管理する情報が増えてきたように思います。

    最近増えつつある問題は、「過剰に共有されること」だと考えています。基本的に、価値あるものを金庫以外に晒しておくなということですが、その判断は個人の判断ではでなく、サービス事業者によって決定されてしまうケースも増えていそうです(マイナンバーとかどうなるんだろ?)。

    また、管理するIDとパスワードが増えてくると、別のサイトでも同じパスワードを流用するケースが増えてくる。これにより、OpenID的なものを利用して利便性を上げる一方で、一つの認証が突破されることで多くの情報がネットワークに流れてしまう問題が発生しやすくなる。認証が突破されるリスクはあるという前提だと、複数のサービスでIDとパスワードを別管理にした方が安全であるといえます。ただ、利便性と共存するというのは難しいですね。

    もしかすると、クレジットカードみたいに不正利用された部分は保険で払うとか、認証システム外で対処を考えておくのが落としどころなのではないでしょうか。

  • by Anonymous Coward on 2013年07月20日 14時11分 (#2424877)

    最近マジで多いな。
    やっぱりどっかから流出したパスワードを片っ端から試してるのか?

    • by Anonymous Coward

      NAVERはパスワードハッシュへのアクセスもあったんだからちがうだろ

    • by Anonymous Coward

      最近というかむしろIDやPWを使い回してる人間がどれほど多いのか
      ってのが問題と思うが

      • by Anonymous Coward on 2013年07月20日 23時49分 (#2425082)

        逆にサービスごとにパスワードを変えてたら、いきなりサービスが統合されて、ユーザー名同じだけどアカウント統合できないから諦めてくれとか言われた俺はどうなる

        親コメント
        • by nim (10479) on 2013年07月22日 10時32分 (#2425506)

          後学のため、なんのサービスでそういう統合処理を行ってたか教えていただけませんか?
          両方のパスワードを聞けば(そして、正しく答えられたら)本人、という判断でよさそうなものですが。

          そもそも、Salted Hash なら、パスワード入力されるまで同じかどうかわからないですよね。

          親コメント
      • by Anonymous Coward on 2013年07月21日 7時22分 (#2425154)

        まぁ使いまわす気持ちはわかる

        「パスワード疲れ」に苦しむネットユーザー 国際ニュース : AFPBB News [afpbb.com]

        21: オセロット(神奈川県) 2013/06/29 17:12:48 ID:8Iybr5Yj0

        PASSWDに記号使えないサイトとか,、
          文字数の上限が低いところとか死ねばいいのにと思う

        28: トンキニーズ(埼玉県) 2013/06/29 17:16:53 ID:t7wontkv0

        >>21
        ポリシーが少しずつ違うのがむかつくよな。

        ・文字種に制限なし、全部使えます
          ・大文字、小文字、記号、数字のうち3つを使ってください
          ・一部の記号は使えません
          ・アルファベットと数字しか使えません
          ・アルファベットのみで数字は使えません
          ・必ず8文字以上にしてください
          ・9文字以上は使えません
          ・必ず12文字以上にしてください
          ・一ヶ月ごとに変更してください
          ・三ヶ月ごとに変更してください
          ・変更前の10個は再利用できません

          ほこ×たてかよ、ってくらい、ありえないバトルが起きてる。

        親コメント
      • by Anonymous Coward

        「人気のパスワード」みたいな奴の集計をとるたびに「1234」がトップになるくらいだからお察しとしか

    • by Anonymous Coward

      某ネットゲームではかなり前からパスワード漏れ漏れで不正ログインが後を絶たず、最近はことあるごとにパスワード変更を強制してますが元を絶ってない段階で何度パスワード変更したところで…

  • by Anonymous Coward on 2013年07月20日 15時38分 (#2424907)

    まさかニフティともあろう老舗が、秘密の質問に対する回答を平文で持ってたんだろうか?
    まあそれを言ったら、ニフティともあろう老舗が秘密の質問方式を使ってたなんてということになるが。

    • by Anonymous Coward on 2013年07月20日 15時57分 (#2424916)

      『「お客様情報一覧」ページ』が閲覧できちゃってるから、復号化後のテキストが見えちゃってるんだよね。

      親コメント
    • by Anonymous Coward
      「秘密の質問」形式は大嫌いだけど、回答しても登録メールアドレス宛にパス変更のリンクを送るだけならまだセーフかも?

      # Niftyがどうかはしらない。
      • by Anonymous Coward on 2013年07月20日 16時34分 (#2424936)

        だけど平文で漏洩させたとなると、よそのサービスの突破に使われかねません。
        パスワードと違ってパターンも少ない(一般の人の場合、恐らく正直に回答している)ので、危険度は比べ物にならないのではないでしょうか。

        秘密の質問を採用しているこの世のすべてのサービスが、登録メールアドレスにパスワード上書きするURLを送ってきてくれるだけのものであればいいんですが……

        さらには、親の旧姓や初恋の人の名前や初めて買ったCDなど、セキュリティ面のみならずプライバシー上の問題を引き起こしかねない内容が多いことにも注意が必要だと思います。

        親コメント
  • by Anonymous Coward on 2013年07月20日 16時01分 (#2424919)
    踏み台の可能性や固定じゃない場合もあるから非公開なのかもしれないけど、どこのIPなのか知りたいな。
    • by Anonymous Coward

      どうせいつも通りチャイナテレコムなんだろ

      • by Anonymous Coward

        何年か前に、フィッシングのログインページが何度か作られたことがあったのを思い出した。
        当時は中にいて、ログ舐めたりいろいろ対策打ったりしたのも思い出した。
        あれも中国だったな。

    • by Anonymous Coward

      ISPの中の者です。

      不正アタックのIPアドレスは中国のほかロシア、ウクライナ、米国、英国なんかがが多い印象。
      当然詐称の可能性も高いので話半分だけど。

      • by Anonymous Coward
        ありがとうございます。

        ウクライナも多いんですか。

        ブログでスパム対策でスパム投稿してきたIPをブロック(大半が中国)すると米国IPから同じスパムが飛んできたりしますね。偽装なんだろうけど。
typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...