OCN IDのサーバー、不正アクセス発覚後に再度不正アクセスを受ける 32
ストーリー by headless
再度 部門より
再度 部門より
NTTコミュニケーションズによれば、23日に不正アクセスが確認されたOCN IDのサーバーで26日に新たな不正アクセスが確認されたそうだ(
ニュースリリース1、
ニュースリリース2、
ニュースリリース3)。
OCN IDサービスはメールアドレスを使用してOCNメールやOCNマイページ、マイポケットなどにログインできるサービス。このサービスを管理するサーバーで23日に5つの不審プログラムが発見され、調査の結果、OCN ID用のメールアドレスとパスワードを抽出して外部に送信するプログラムであることが判明。NTTコミュニケーションズではただちにこのプログラムを無効化したが、メールアドレスと暗号化されたパスワードの流出が確認されたとのこと。流出件数は発表されていないが、最大で400万件にのぼる可能性があるという。
NTTコミュニケーションズは該当ユーザーに対し、パスワードを変更するようにメールで連絡していたが、新たな不正アクセスが26日2時36分ごろ確認されたという。同社では不正アクセスによる被害の拡大を防ぐため、当該サーバーとネットワークの接続を遮断しており、OCNメールを除く12のサービスについてOCN IDを使用したログインができない状態にあるとのことだ。
該当する12のサービスは下記の通り。
(続く...)
OCN IDサービスはメールアドレスを使用してOCNメールやOCNマイページ、マイポケットなどにログインできるサービス。このサービスを管理するサーバーで23日に5つの不審プログラムが発見され、調査の結果、OCN ID用のメールアドレスとパスワードを抽出して外部に送信するプログラムであることが判明。NTTコミュニケーションズではただちにこのプログラムを無効化したが、メールアドレスと暗号化されたパスワードの流出が確認されたとのこと。流出件数は発表されていないが、最大で400万件にのぼる可能性があるという。
NTTコミュニケーションズは該当ユーザーに対し、パスワードを変更するようにメールで連絡していたが、新たな不正アクセスが26日2時36分ごろ確認されたという。同社では不正アクセスによる被害の拡大を防ぐため、当該サーバーとネットワークの接続を遮断しており、OCNメールを除く12のサービスについてOCN IDを使用したログインができない状態にあるとのことだ。
該当する12のサービスは下記の通り。
(続く...)
- OCNブログ人
- マイポケット
- OCNマイページ
- OCNペイオン
- OCNドットフォン オフィス
- マイアドレスプラス
- OCNフォトフレンド
- OCN家計簿
- クリエーコ
- マイソーシャルトーク
- NTTIDログインサービス
- オペレーションサポートウェブ(旧OCN TECHWEB)
パスワードの文字制限を何とかしろと… (スコア:2, 興味深い)
一時パスワード変更が全くできない状態に陥っていましたが、今はOCNメールからのみパスワード変更ができるようですね。
それはともかくとして、パスワードの文字制限があまりに酷いので、これを何とかして欲しい物です。
現在の制限は
---
1..6~8文字
2. 使用可能文字は英字(大/小)、数字、記号( ! $ % & ' ( ) * + , - / ; ? [ ] ^ { } ~ )
3. 2文字以上の英字と1文字以上の数字/記号を組み合わせる
---
なんですけど…、まずは文字数上限低すぎ!
NTT系のサービスってみんな文字数制限低いような気がするんだけど、気のせいでしょうかね?
# 一応OCNに文句は言いました。
Re: (スコア:0)
未だに8文字制限のあるcrypt()しか知らんのかもしれませんね
一方、マイクロソフトの中の人は14文字以上を推奨した。 (スコア:0)
http://blogs.technet.com/b/jpsecurity/archive/2013/07/26/3586967.aspx [technet.com]
安全性の高いパスワードを使用し、秘密にしておく
安全性の高いパスワードとは 14 文字以上の長さで、英大文字、英小文字、数字、記号を組み合わせたものを言います。安全性の高いパスワードの作成では強力なパスワードを作成する手順をご紹介しています。
Re: (スコア:0)
でも最大16文字なんだよな。
あと変な場所からのログオンとか警告してくれないので、
自分でログオン履歴の開示を要求してみると変なとこからログインされてても気づかない。
心配じゃない人も見てみるといいよ。開示してもらうのすごいめんどくさいけれど。
Re: (スコア:0)
>OCNメールを除く12のサービスについてOCN IDを使用したログインができない状態にあるとのことだ。
ここら辺から、OCN IDは、認証統合のサービスだろうと。
多分、上記13のサービスやバックエンドの古いシステムのパスワードの共通解が、上記1~3ではと思う。
実装の仕方を工夫したり、制限がゆるゆるなシステムを改修したり、やり様はあると思うけど。
年配者を含む一般の人の記憶力だと、簡単に覚えられるのは、4文字までと言われているよ。
年配者に8文字以上の入力を求めるのは、結構、しんどいと思う。
もしかしたら、OCN IDには実装されているかも知れないけど、別の方法、例えば、4回以上間違えると、
一時利用不可等で、セキュアにした方が良い気がする。
ところで、上記サービス以外にも、OCN IDは、docomoIDやgooIDとも関連しているようなんだが・・・・。
http://www.nttid.jp/ [nttid.jp]
Re: (スコア:0)
何で二段階認証をしないのでしょう?
スマホとかですでにアプリが仕込んで有れば、QRコードをカメラで撮れば
一発の様に思えますが。
#OCNもですがNiftyも
ksみたいなサービスを作りすぎている感 (スコア:0)
ksみたいなサービスを作りすぎている感
Re: (スコア:0)
社員を食わせて行かないといけないんです、サービス自体が赤字でも問題なし
Re: (スコア:0)
的確な表現ですね。
つまり、お客さんから多めにお金を頂いて、余って利益を出しすぎている事を
カモフラージュする為、って事でしょうか?
研究開発費などの経費扱いって事でしょうけど、本来、社会に認められる、
つまり利益になるサービスを創る事が、社員の社会奉仕なんだろうけど、
自覚が無いって事ですね。
研究開発なので、1/10の確立でも利益が出れば良い、と言えなくも無いが、
色々な意味で、周りに迷惑を掛けない様にやって欲しいもんだ。
家計簿とかドットフォンオフィスとか (スコア:0)
生活に直結してるサービスを運営している意識はなかったんだろうか。
既視感があるんだけど、OCNって前にもこういうの起こしてなかったっけ?
スラドで見た気がするんだけど、関連リンクに無いし・・・・・・。
Re: (スコア:0)
ネット上に家計簿とか今日何を買ったとか、わざわざ毎日うpすること自体が信じられないんだけど
オフラインでできるでしょ
Re:家計簿とかドットフォンオフィスとか (スコア:1)
あ、disられた ^^;
これ [srad.jp]は非実在扱い?
Re: (スコア:0)
別ACだけど、非実在とかじゃなくて、その行為の意味自体がわかんないなぁ…とは思う。
例えば模型が好きで購入から完成までをブログの日記ネタにするとかならまだクリエイティブな要素があるからわかるんだけどさ。
単に買ったログをオンラインで公開する必然性てゆーか、個人情報を出すそのユルさが理解出来ないんだよね。
Re:家計簿とかドットフォンオフィスとか (スコア:1)
あなたが理解できようができまいが関係ないんじゃないですか。
行為の意味がわからないなら、黙って心の中で「理解できないんだよね」と言っていれば良い。
640GBはすべての人にとって未来永劫充分なメモリだ。
Re: (スコア:0)
shibuyaが俺やってますよアピールなんてしなきゃスルーしてたさ…
Re:家計簿とかドットフォンオフィスとか (スコア:1)
日記 [srad.jp]で手短に言及した説明ですが。。。
現在のわたしにとってお手軽な記録手段だから使用している。
ローカルかつオフラインな出納簿かつ日誌ほかに移行するのでは管理の手間が増える。
そもそも他者にとっては見ないことにすれば気にならない範囲のノイズで余計なもの分類。
どうしてそんなユルいのかという点は価値が小さいからということです。
わたしは世間から見れば人生の敗残者だと断言できる。自身の機微情報が他者に比べて重要視されるとはとても思えない。そんな相手に不特定多数の広いい層からあいつをこらしめてやれ、むしりとってやれと関心が持たれることは少なかろうということです。そこまでわたしに興味ある人がいるでしょうか?可能性ゼロではないだろうけどきわめて低かろう。
もっと資産が多いとか、養っている家族がいるとか、交友関係が広いとか、部下が多くて責任が重いとか、将来の可能性が無限とか、まだまだ若いとか、そんな自慢したくなるような特質がないのですよ。
守るに値するほどでない情報だからslashdot.jpで晒した結果困った立場になったとしてもそのむくいは自分でカバーできる範囲というわけだ。
Re: (スコア:0)
遅れてるな。
今は口座集約(アカウントアグリゲーション)サービスとか言って、
ネット銀行のパスワードだってホイホイ第三者に教えちゃうんだぜ。
Re: (スコア:0)
OCN家計簿は、主に銀行やクレジットカードなどのアグリゲーションサービス的な意味合いが強いですね。
Zaimとの連携もでき、(リスクは大いにあるのですが)利便性もそれなりにあるとおもっています。
#だからこそドン引きなんですが
Re: (スコア:0)
> OCNって前にもこういうの起こしてなかったっけ?
世界に類をみない高品質な通信インフラを築きあげてきた公社の記憶が世間にはまだ
ocnに対する企業イメージの根底になってたりするとかですか。 何事にも手を抜かず、
ものすごくきっちり仕事こなすと思われてしまってるとか。 その実は、ご存知の通り
過去からいくつか問題指摘されてたのは事実で、ゆるいとこ満載なのがocnですね。
通信インフラの理想を頭で考えてネットワークを構築してサービスしてたら、あちこち
に迷惑かけちゃったとかってな頭脳明晰なんだけど頭良すぎて世間ズレしてるに近いイ
メージからくる「ゆるさ」とかかなと。
そろそろV6てどうよ?と思って食指を動かしにかかってたんでocnに乗り換えたばかり
でしたが、ゆるいからと思ってハラハラ、ドキドキしてたら、ほらきたきたきたーーて
感じですかね(汗
#やられちゃったんだけどさ
Re: (スコア:0)
有料サービスなら開発費もきちんと確保できるんでしょうけど、、、
かつてのDoBlogや、OCN家計簿などは非会員にも無料開放しているサービスで。
そういう無料サービスを、NTTのような巨大企業が非会員にも提供とか、そんな大盤振る舞いしてペイするのかなと時折思います。
今回はNTTcom本体ですし、NTTクオリティの人件費で無料サービスをやるというのは、ハードル高いのでは…。
本当、困ります。 (スコア:0)
OCNはマイポケットというストレージサービスもてがけています。
流出したID・パスワードが使われてストレージ内にある重要情報が流出するという更なる二次被害も想定されます。
また、メールアドレス+パスワードという組み合わせは金融系のサイトのログインの際にもよく使われます。
同じメールアドレス・パスワードを使っていれば、流出したID・パスワードを使って、金融機関の口座にも直接アクセスが可能になります。
今回流出したのは、単なるID・パスワードではありません。
ストレージへのアクセス、金融機関等の口座へのアクセスを許したのと同義なのです。
Re: (スコア:0)
銀行とパスワード同じにしなきゃいいんじゃ
Re: (スコア:0)
別パスワードだとしても、パスワードリセットで奪取可能かも?と考えると結構ヤバい問題なんですけどねー
Re: (スコア:0)
10行以上の金融機関(銀行・証券会社)の口座を持っていますが、メールアドレスとパスワードの組み合わせでログインできるところは、1行もありません。
ごくまれに、住信SBIネット銀行など、IDを任意の文字列に変更できる銀行もありますが、メールアドレスにはできません。
例えば、みずほ銀行は、お客さま番号 (数字8桁) で、三菱東京UFJ銀行は、ご契約番号 (数字10桁)が、IDとなりま
Re: (スコア:0)
みんな、クラウドを信用しすぎ。
クラウドにそんな重要なデータを置くほうが、頭がおかしい。
銀行口座の管理を、そんな単純なメールアドレスと使いまわしのパスワードで?
正気の沙汰じゃない。
Re: (スコア:0)
みんな、銀行を信用しすぎ。
銀行にそんな重要な資産を置くほうが、頭がおかしい。
ってな言い換えが通った時代もあったのかもなーとか。
早いところ安心して使えるクラウドが出来て欲しいよね。
個人的認識では
安全性低:自前クラウド代替×脆弱認証<クラウド×脆弱認証<自前クラウド代替×セキュアな認証<クラウド×セキュアな認証:安全度高
だと思ってる。
自前クラウドは保守に割ける資源が企業のクラウドに及ばないこともあるだろうし。※但し企業が真面目に取り組んでる場合に限る
だけどいっちょうことあらばクラウドの方が集約されてる分被害が大きいんだよね。
# 身の回りで75%本件で漏洩したようなのでAC
一度も使用していないのに (スコア:0)
プロバイダがocnに吸収されたおかげで、ocnのメールアカウントを持っているのですが
そういった都合上一度もこのアドレスを使ったことがありませんでした。
でも、1年ほど前から、たまにこのメールアドレスに海外からメールが来ます。
しかも、ccで複数のocnメールアドレスがついて。
怖いです。
Re: (スコア:0)
怖がる必要は無いのでは
しかしまあ、今後もそのアドレスは使わない事だね
受信しないわけにはいかないだろうから
gmailに送れば大抵のスパムが回避出来るよ
なぜUnixを使わなかったのか (スコア:0)
Unixなら安全だと、林檎により革新的に再定義されているのに・・・。
Re:不正アクセスといっても、内容が酷い (スコア:2, 参考になる)
最初アナウンスされた件の脆弱性は、時期から考えてもこれだろう。
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-003441.html [jvndb.jvn.jp]
IT業界では、今最もホットな話題だろう。
Struts 2フレームワークを使ったJavaシステムは、かなり該当するんじゃないかい。
あなたのシステムは、大丈夫でしょうか?
っで、この会社の体質から言って、流失したのはこれが初めてではないだろうと、
思ってみると、案の定、4月19日には流出していた事が判明。
http://itpro.nikkeibp.co.jp/article/NEWS/20130726/494464/ [nikkeibp.co.jp]
つまり、今回の事が無ければ、気付く事すらも無かったって事。
最も、ダメダメな会社のパターンじゃん。
正直に発表したのは評価出来ると思うけど、ブランディングに、「安心」「安全」なんて
使って良い会社なんだろうかと思う。
流出が4月19日とした場合、既に他の情報も流出してんじゃね~のとか、
これまでも気付かなかっただけじゃね~のと思う。
Re: (スコア:0)
これは記事の誤りだそうです。
以下引用。