パスワードを忘れた? アカウント作成
9595121 story
情報漏洩

OCN IDのサーバー、不正アクセス発覚後に再度不正アクセスを受ける 32

ストーリー by headless
再度 部門より
NTTコミュニケーションズによれば、23日に不正アクセスが確認されたOCN IDのサーバーで26日に新たな不正アクセスが確認されたそうだ( ニュースリリース1ニュースリリース2ニュースリリース3)。

OCN IDサービスはメールアドレスを使用してOCNメールやOCNマイページ、マイポケットなどにログインできるサービス。このサービスを管理するサーバーで23日に5つの不審プログラムが発見され、調査の結果、OCN ID用のメールアドレスとパスワードを抽出して外部に送信するプログラムであることが判明。NTTコミュニケーションズではただちにこのプログラムを無効化したが、メールアドレスと暗号化されたパスワードの流出が確認されたとのこと。流出件数は発表されていないが、最大で400万件にのぼる可能性があるという。

NTTコミュニケーションズは該当ユーザーに対し、パスワードを変更するようにメールで連絡していたが、新たな不正アクセスが26日2時36分ごろ確認されたという。同社では不正アクセスによる被害の拡大を防ぐため、当該サーバーとネットワークの接続を遮断しており、OCNメールを除く12のサービスについてOCN IDを使用したログインができない状態にあるとのことだ。

該当する12のサービスは下記の通り。
(続く...)
  • OCNブログ人
  • マイポケット
  • OCNマイページ
  • OCNペイオン
  • OCNドットフォン オフィス
  • マイアドレスプラス
  • OCNフォトフレンド
  • OCN家計簿
  • クリエーコ
  • マイソーシャルトーク
  • NTTIDログインサービス
  • オペレーションサポートウェブ(旧OCN TECHWEB)
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年07月27日 12時28分 (#2429590)

    一時パスワード変更が全くできない状態に陥っていましたが、今はOCNメールからのみパスワード変更ができるようですね。

    それはともかくとして、パスワードの文字制限があまりに酷いので、これを何とかして欲しい物です。
    現在の制限は
      ---
    1..6~8文字
    2. 使用可能文字は英字(大/小)、数字、記号( ! $ % & ' ( ) * + , - / ; ? [ ] ^ { } ~ )
    3. 2文字以上の英字と1文字以上の数字/記号を組み合わせる
      ---
    なんですけど…、まずは文字数上限低すぎ! 
    NTT系のサービスってみんな文字数制限低いような気がするんだけど、気のせいでしょうかね?

    # 一応OCNに文句は言いました。

    • by Anonymous Coward

      未だに8文字制限のあるcrypt()しか知らんのかもしれませんね

    • http://blogs.technet.com/b/jpsecurity/archive/2013/07/26/3586967.aspx [technet.com]

      安全性の高いパスワードを使用し、秘密にしておく
      安全性の高いパスワードとは 14 文字以上の長さで、英大文字、英小文字、数字、記号を組み合わせたものを言います。安全性の高いパスワードの作成では強力なパスワードを作成する手順をご紹介しています。

      • by Anonymous Coward

        でも最大16文字なんだよな。

        あと変な場所からのログオンとか警告してくれないので、
        自分でログオン履歴の開示を要求してみると変なとこからログインされてても気づかない。
        心配じゃない人も見てみるといいよ。開示してもらうのすごいめんどくさいけれど。

    • by Anonymous Coward

      >OCNメールを除く12のサービスについてOCN IDを使用したログインができない状態にあるとのことだ。
      ここら辺から、OCN IDは、認証統合のサービスだろうと。
      多分、上記13のサービスやバックエンドの古いシステムのパスワードの共通解が、上記1~3ではと思う。
      実装の仕方を工夫したり、制限がゆるゆるなシステムを改修したり、やり様はあると思うけど。

      年配者を含む一般の人の記憶力だと、簡単に覚えられるのは、4文字までと言われているよ。
      年配者に8文字以上の入力を求めるのは、結構、しんどいと思う。
      もしかしたら、OCN IDには実装されているかも知れないけど、別の方法、例えば、4回以上間違えると、
      一時利用不可等で、セキュアにした方が良い気がする。

      ところで、上記サービス以外にも、OCN IDは、docomoIDやgooIDとも関連しているようなんだが・・・・。
      http://www.nttid.jp/ [nttid.jp]

    • by Anonymous Coward

      何で二段階認証をしないのでしょう?

      スマホとかですでにアプリが仕込んで有れば、QRコードをカメラで撮れば
      一発の様に思えますが。

      #OCNもですがNiftyも

  • by Anonymous Coward on 2013年07月27日 12時09分 (#2429586)

    ksみたいなサービスを作りすぎている感

    • by Anonymous Coward

      社員を食わせて行かないといけないんです、サービス自体が赤字でも問題なし

      • by Anonymous Coward

        的確な表現ですね。

        つまり、お客さんから多めにお金を頂いて、余って利益を出しすぎている事を
        カモフラージュする為、って事でしょうか?

        研究開発費などの経費扱いって事でしょうけど、本来、社会に認められる、
        つまり利益になるサービスを創る事が、社員の社会奉仕なんだろうけど、
        自覚が無いって事ですね。

        研究開発なので、1/10の確立でも利益が出れば良い、と言えなくも無いが、
        色々な意味で、周りに迷惑を掛けない様にやって欲しいもんだ。

  • by Anonymous Coward on 2013年07月27日 12時19分 (#2429588)

    生活に直結してるサービスを運営している意識はなかったんだろうか。
    既視感があるんだけど、OCNって前にもこういうの起こしてなかったっけ?
    スラドで見た気がするんだけど、関連リンクに無いし・・・・・・。

    • by Anonymous Coward

      ネット上に家計簿とか今日何を買ったとか、わざわざ毎日うpすること自体が信じられないんだけど
      オフラインでできるでしょ

      • あ、disられた ^^;
        これ [srad.jp]は非実在扱い?

        親コメント
        • by Anonymous Coward

          別ACだけど、非実在とかじゃなくて、その行為の意味自体がわかんないなぁ…とは思う。
          例えば模型が好きで購入から完成までをブログの日記ネタにするとかならまだクリエイティブな要素があるからわかるんだけどさ。
          単に買ったログをオンラインで公開する必然性てゆーか、個人情報を出すそのユルさが理解出来ないんだよね。

          • あなたが理解できようができまいが関係ないんじゃないですか。
            行為の意味がわからないなら、黙って心の中で「理解できないんだよね」と言っていれば良い。

            --
            640GBはすべての人にとって未来永劫充分なメモリだ。
            親コメント
            • by Anonymous Coward

              shibuyaが俺やってますよアピールなんてしなきゃスルーしてたさ…

          • 日記 [srad.jp]で手短に言及した説明ですが。。。
            現在のわたしにとってお手軽な記録手段だから使用している。
            ローカルかつオフラインな出納簿かつ日誌ほかに移行するのでは管理の手間が増える。
            そもそも他者にとっては見ないことにすれば気にならない範囲のノイズで余計なもの分類。

            どうしてそんなユルいのかという点は価値が小さいからということです。
            わたしは世間から見れば人生の敗残者だと断言できる。自身の機微情報が他者に比べて重要視されるとはとても思えない。そんな相手に不特定多数の広いい層からあいつをこらしめてやれ、むしりとってやれと関心が持たれることは少なかろうということです。そこまでわたしに興味ある人がいるでしょうか?可能性ゼロではないだろうけどきわめて低かろう。
            もっと資産が多いとか、養っている家族がいるとか、交友関係が広いとか、部下が多くて責任が重いとか、将来の可能性が無限とか、まだまだ若いとか、そんな自慢したくなるような特質がないのですよ。
            守るに値するほどでない情報だからslashdot.jpで晒した結果困った立場になったとしてもそのむくいは自分でカバーできる範囲というわけだ。

            親コメント
      • by Anonymous Coward

        遅れてるな。
        今は口座集約(アカウントアグリゲーション)サービスとか言って、
        ネット銀行のパスワードだってホイホイ第三者に教えちゃうんだぜ。

      • by Anonymous Coward

        OCN家計簿は、主に銀行やクレジットカードなどのアグリゲーションサービス的な意味合いが強いですね。
        Zaimとの連携もでき、(リスクは大いにあるのですが)利便性もそれなりにあるとおもっています。

        #だからこそドン引きなんですが

    • by Anonymous Coward

      > OCNって前にもこういうの起こしてなかったっけ?

      世界に類をみない高品質な通信インフラを築きあげてきた公社の記憶が世間にはまだ
      ocnに対する企業イメージの根底になってたりするとかですか。 何事にも手を抜かず、
      ものすごくきっちり仕事こなすと思われてしまってるとか。 その実は、ご存知の通り
      過去からいくつか問題指摘されてたのは事実で、ゆるいとこ満載なのがocnですね。
      通信インフラの理想を頭で考えてネットワークを構築してサービスしてたら、あちこち
      に迷惑かけちゃったとかってな頭脳明晰なんだけど頭良すぎて世間ズレしてるに近いイ
      メージからくる「ゆるさ」とかかなと。

      そろそろV6てどうよ?と思って食指を動かしにかかってたんでocnに乗り換えたばかり
      でしたが、ゆるいからと思ってハラハラ、ドキドキしてたら、ほらきたきたきたーーて
      感じですかね(汗

      #やられちゃったんだけどさ

      • by Anonymous Coward

        有料サービスなら開発費もきちんと確保できるんでしょうけど、、、
        かつてのDoBlogや、OCN家計簿などは非会員にも無料開放しているサービスで。

        そういう無料サービスを、NTTのような巨大企業が非会員にも提供とか、そんな大盤振る舞いしてペイするのかなと時折思います。
        今回はNTTcom本体ですし、NTTクオリティの人件費で無料サービスをやるというのは、ハードル高いのでは…。

  • by Anonymous Coward on 2013年07月27日 16時38分 (#2429676)

    OCNはマイポケットというストレージサービスもてがけています。
    流出したID・パスワードが使われてストレージ内にある重要情報が流出するという更なる二次被害も想定されます。

    また、メールアドレス+パスワードという組み合わせは金融系のサイトのログインの際にもよく使われます。
    同じメールアドレス・パスワードを使っていれば、流出したID・パスワードを使って、金融機関の口座にも直接アクセスが可能になります。

    今回流出したのは、単なるID・パスワードではありません。
    ストレージへのアクセス、金融機関等の口座へのアクセスを許したのと同義なのです。

    • by Anonymous Coward

      銀行とパスワード同じにしなきゃいいんじゃ

      • by Anonymous Coward

        別パスワードだとしても、パスワードリセットで奪取可能かも?と考えると結構ヤバい問題なんですけどねー

    • メールアドレス+パスワードという組み合わせは金融系のサイトのログインの際にもよく使われます。
      同じメールアドレス・パスワードを使っていれば、流出したID・パスワードを使って、金融機関の口座にも直接アクセスが可能になります。

      10行以上の金融機関(銀行・証券会社)の口座を持っていますが、メールアドレスパスワードの組み合わせでログインできるところは、1行もありません。

      ごくまれに、住信SBIネット銀行など、IDを任意の文字列に変更できる銀行もありますが、メールアドレスにはできません。

      例えば、みずほ銀行は、お客さま番号 (数字8桁) で、三菱東京UFJ銀行は、ご契約番号 (数字10桁)が、IDとなりま

    • by Anonymous Coward

      みんな、クラウドを信用しすぎ。
      クラウドにそんな重要なデータを置くほうが、頭がおかしい。

      銀行口座の管理を、そんな単純なメールアドレスと使いまわしのパスワードで?
      正気の沙汰じゃない。

      • by Anonymous Coward

        みんな、銀行を信用しすぎ。
        銀行にそんな重要な資産を置くほうが、頭がおかしい。

        ってな言い換えが通った時代もあったのかもなーとか。
        早いところ安心して使えるクラウドが出来て欲しいよね。

        個人的認識では
        安全性低:自前クラウド代替×脆弱認証<クラウド×脆弱認証<自前クラウド代替×セキュアな認証<クラウド×セキュアな認証:安全度高
        だと思ってる。
        自前クラウドは保守に割ける資源が企業のクラウドに及ばないこともあるだろうし。※但し企業が真面目に取り組んでる場合に限る
        だけどいっちょうことあらばクラウドの方が集約されてる分被害が大きいんだよね。

        # 身の回りで75%本件で漏洩したようなのでAC

  • by Anonymous Coward on 2013年07月27日 23時49分 (#2429820)

    プロバイダがocnに吸収されたおかげで、ocnのメールアカウントを持っているのですが
    そういった都合上一度もこのアドレスを使ったことがありませんでした。
    でも、1年ほど前から、たまにこのメールアドレスに海外からメールが来ます。
    しかも、ccで複数のocnメールアドレスがついて。

    怖いです。

    • by Anonymous Coward

      怖がる必要は無いのでは
      しかしまあ、今後もそのアドレスは使わない事だね

      受信しないわけにはいかないだろうから
      gmailに送れば大抵のスパムが回避出来るよ

  • by Anonymous Coward on 2013年07月28日 16時30分 (#2430044)

    Unixなら安全だと、林檎により革新的に再定義されているのに・・・。

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...